2021-09-01 网安实验-SQL注入-绕过is_numeric过滤_if(!is_numeric($key))绕过-程序员宅基地

技术标签: 愚公系列-网络安全实验  php  数据库  sql  

一:手工注入

1.在收集信息的过程中发现备份文件.index.php.swp泄漏,我们拿到了源码。

在这里插入图片描述
记事本打开可以看到代码内容
在这里插入图片描述

经过分析得到以下信息:
注入点id是被is_numeric过滤后,插入到vote表里的。把注入查询语句插入到vote表里,然后又从vote表里取出,形成二次注入。可以考虑用十六进制或者二进制绕过is_numeric,形成SQL注入。

这里我们使用火狐的插件hackbar就可以了(在浏览器工具栏的【工具】中),随便选择一部电影并提交 :

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aa2528877987/article/details/120040398

智能推荐

Linux下使用NDK进行so库的编译和生成-程序员宅基地

文章浏览阅读1.6w次。NDK的开发因为涉及到C/C++语言而让很多人感觉到难以捉摸,又涉及到Linux系统下的编译,更让很多人望而却步,但是,作为有理想的安卓开发人员,作为有理想的安卓开发人员,作为有理想的安卓开发人员,重要的事说三遍,为了理想还是要啃下这块硬骨头的,而且碰钉子是肯定的,一定要坚持啊。一、Linux下安装NDK下载NDK r17 https://developer.android.google.cn/n...

度小满前端开发秋招补录面经_度小满前端 代码-程序员宅基地

文章浏览阅读247次。度小满前端开发秋招补录一面2021/1/15vue的computed 和 watchvue的组件传参$nextTick用过没,什么作用常见状态码,分别说说其含义说说Promise输入url到页面渲染回流和重绘为什么把js文件放在后面数组方法有哪些方法forEach 和 map 的区别手写数组去重(三种方法,最重要的是对象去重)项目中有遇到什么问题吗?怎么解决的反问..._度小满前端 代码

python 设置输入法为英文,appium+python环境下的输入法切换-程序员宅基地

文章浏览阅读1k次。今天做appium+python的app UI自动化时,遇到app前端界面输入时自动加了空格,用send_keys()方法怎么都输入不了正确的手机号和银行卡号,不是输入错了,就是输入少了,经过自己的研究,总结出了下面的方法,记录一下,以备后用。我自己写了一个python的切换输入法的方法类,在做appium+python的app UI自动化时,直接调用就可以了,现在分享出来:文件名:inputMe..._appium输入框输入内容 从中文切成英文

【Python】如何读取文件夹下的所有文件_python 读取文件夹下所有文件-程序员宅基地

文章浏览阅读1.1w次,点赞6次,收藏40次。有时候需要处理一个文件夹下面所有的文件,一个个的将文件的名字复制粘贴到代码里太麻烦了,我们可以一次性读取文件夹里面所有的文件。import ospath = '/Users/zhangxin/Desktop/文件夹/'files = os.listdir(path)i = 0for file in files: try: used_name ..._python 读取文件夹下所有文件

nodejs抓取网页的源码,并保存到本地文件_request nodejs 获得网页源代码-程序员宅基地

文章浏览阅读7k次。var http = require('http')var fs = require('fs');// 要抓取的网页地址var url = 'http://www.imooc.com/learn/348'http.get(url, function(res) { var html = '' res.on('data', function(data) { html += data_request nodejs 获得网页源代码

全志F1C200s从零开发-虚拟机搭建Ubuntu环境-程序员宅基地

文章浏览阅读7.8k次,点赞6次,收藏53次。我们从零开始开发编译全志F1C200s,在Vmware上搭建Ubuntu环境,作为编译liunx镜像环境。1、下载安装VMware自行百度2、下载安装Ubuntu20.04参考:虚拟机VMware安装ubuntu教程(ubuntu-20.04.1-desktop-amd64.iso)_-借我杀死庸碌的情怀-的博客-程序员宅基地_ubuntu-20.04-desktop-amd64.iso3、安装VMware tools参考:vmware下ubuntu虚拟机如何安装vmware t_f1c200s

随便推点

matplotlib如何在绘制时间序列时跳过无数据的区间_在plt画的图形中,怎么过滤无数据的时间刻度-程序员宅基地

文章浏览阅读1.5w次,点赞6次,收藏35次。其实官方文档里就提供了方法,这里简单的翻译并记录一下. 11.1.9 Skip dates where there is no data When plotting time series, e.g., financial time series, one often wants to leave out days on which there is no data, e.g., week_在plt画的图形中,怎么过滤无数据的时间刻度

PYNQ——PMOD接口-程序员宅基地

文章浏览阅读1w次。Pmod接口 (或外设模块接口)是Digilent公司在Digilent Pmod接口规范中定义的开放标准 ,用于与FPGA或微控制器开发板一起使用的外设。模块可从简单的按钮到更复杂的模块,包括网络接口 ,模数转换器或LCD显示器 。 这些模块可与不同供应商的各种FPGA或微控制器开发板配合使用。 Pmod不一定是即插即用的 - 需要软件和配置 - 但硬件接口是预先设计的,模块可以与主板快速组装..._pmod

义务教育学校计算机师机比,海南义务教育办学基本标准试行 小学每班限45人-程序员宅基地

文章浏览阅读2.2k次。海口网7月23日消息(记者 陈新卫)从今年7月20日起,我省将试行义务教育阶段中小学校新的办学基本标准。该《标准》对义务教育学校的规模和班额、建设用地、校舍建筑标准、装备条件标准、师资队伍、学校管理、教育教学等方面作出新的注解,适用于全省义务教育公办普通中小学校,特殊教育学校办学标准另行规定。学校的基础设施须配备齐全新《标准》对义务教育学校的建筑用地提出新要求,必须有满足相应学校规模的教学楼、实验..._师机比

三文读懂PCA和PCoA(一)-程序员宅基地

文章浏览阅读8.1k次,点赞12次,收藏62次。本文转载自“金唯智生物科技”,已获授权。在微生物NGS测序领域的高分文章中,PCA(主成分分析)和PCoA(主坐标分析)会很常见。甚至在RNA分析领域,很多研究和文章也会依据基因的表达量..._pcoa图怎么看差异

UniRx_UniTask_学习记录_2.2_Observable的使用_unirx observable订阅怎么中断取消-程序员宅基地

文章浏览阅读452次。文章目录UniRx_2.2_Observable的使用2.2.1 Observable的生成方法2.2.2 Observable 可以利用的消息2.2.3 销毁Observable的方法2.2.4 AddTo() 方法UniRx_2.2_Observable的使用2.2.1 Observable的生成方法使用 Subject工厂方法UniRX提供的ObservableTask(UniTask)进行变换别的数据结构进行变换2.2.2 Observable 可以利用的消息OnNext(_unirx observable订阅怎么中断取消

USB转TTL、USB转串口、USB转232的区别(转)_usb转ttl和usb转串口的区别-程序员宅基地

文章浏览阅读2.6w次,点赞19次,收藏87次。在初玩单片机时曾被上面的几个名词所混淆,不过后来终于大彻大悟,现在把自己的理解写在这里,同样准备入门单片机的小白可以看看,或许对你有所帮助。首先,为什么要进行转换?因为单片机通信接口的电平逻辑和PC机通信接口的电平逻辑不同。有什么不同?PC机上的通信接口有USB接口,相应电平逻辑遵照USB原则;还有DB9接口(九针口),相应电平逻辑遵照RS-232原则。而我们的单片机上的串行通..._usb转ttl和usb转串口的区别

推荐文章

热门文章

相关标签