昨天打RCTF,一眼看过去web题才做十几个人,感觉没什么希望,然后转去看了。然后就在杂项做出了2题。然后偷懒休息了一天没更新。
今天看了下sqli-lab,原来and 和 or的过滤可以用 &&和||绕过的,空格过滤则可以用/**/,但是很多时候都会过滤*和/,今天看那些题还有过滤-和#那样就没法注释掉后面的'了或者多余的东西,然后看到一个骚操作。用1'或者or '1'='1 来闭合后面的',用%0a和%a0去绕过空格过滤。emmm有点6,没想到还有这个操作。
今天还没时间去试一下这些,仅仅是看了记住了,明天找个时间试验一下先。
进度:
看了sqli-lab28以前的,其他还是老样子
明日计划:
sqli-lab 25-27,试验一下。