小葵多功能转换工具——编解码绕过,TODO

小葵多功能转换工具 免费下载

小葵多功能转换工具也有人叫“转换工具 by zj1244[小葵]”。

小葵多功能转换工具,能转换多种数据,是目前最好的编码转换工具。

支持将普通编码转换为URL、SQL_En、Hex、Asc、MD5_32、MD5_16、Base64等格式的编码,还支持解密base64编码。

例如:把网页链接URL编码或还原成能看懂的,在渗透测试的时候用处非常的大。

转换工具 by zj1244[小葵]

Hex编码和解码就是指16进制编码和解码。

转换工具 by zj1244[小葵] 免费下载地址

百度网盘链接: https://pan.baidu.com/s/13eAVpyZBTaN18wbLBwTBvA 提取码: a8vv

如网盘链接有失效,请评论留言或Q上联系我!

注意:

在使用“小葵多功能转换工具”的时候,SQL_enHex转换这里,前面会多一个0x。

如果你想通过网上一台平台,例如:“16进制转字符”,又想解码回去,就需要去掉前面的“0x”,否则就会出现:For input string: "0x"。

其中,sQL注入开启magic_quotes_gpc=on的时候,可以使用该工具进行16进制字符编码。

1. 对于PHP magic_quotes_gpc=on的情况, 我们可以不对输入和输出数据库的字符串数据作addslashes()和stripslashes()的操作,数据也会正常显示。

  如果此时你对输入的数据作了addslashes()处理,那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。

  2. 对于PHP magic_quotes_gpc=off 的情况

  必须使用addslashes()对输入数据进行处理,但并不需要使用stripslashes()格式化输出,因为addslashes()并未将反斜杠一起写入数据库,只是帮助mysql完成了sql语句的执行。

  补充:

  PHP magic_quotes_gpc作用范围是:WEB客户服务端;作用时间:请求开始时,例如当脚本运行时.

  magic_quotes_runtime 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的;作用时间:每次当脚本访问运行状态中产生的数据

  例:

  1.

  条件: PHP magic_quotes_gpc=off

  写入数据库的字符串未经过任何过滤处理。从数据库读出的字符串也未作任何处理。

  数据:  $data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).

  操作: 将字符串:”snow”’’sun” 写入数据库,

  结果: 出现sql语句错误,mysql不能顺利完成sql语句,写入数据库失败。

  数据库保存格式:无数据。

  输出数据格式:无数据。

  说明: 对于未经处理的单引号在写入数据库时会使sql语句发生错误。

  2.

  条件: PHP magic_quotes_gpc=off

  写入数据库的字符串经过函数addlashes()处理。从数据库读出的字符串未作任何处理。

  数据:  $data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).

  操作: 将字符串:”snow”’’sun” 写入数据库,

  结果: sql语句顺利执行,数据成功写入数据库

  数据库保存格式:snow”’’sun (和输入一样)

  输出数据格式:snow”’’sun (和输入一样)

  说明: addslashes()函数将单引号转换为’的转义字符使sql语句成功执行,

  但’并未作为数据存入数据库,数据库保存的是snow”’’sun 而并不是我们想象的snow’’’’sun

  3.

  条件: PHP magic_quotes_gpc=on

  写入数据库的字符串未经过任何处理。从数据库读出的字符串未作任何处理。

  数据:  $data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).

  操作: 将字符串:”snow”’’sun” 写入数据库,

  结果: sql语句顺利执行,数据成功写入数据库

  数据库保存格式:snow”’’sun (和输入一样)

  输出数据格式:snow”’’sun (和输入一样)

  说明: PHP magic_quotes_gpc=on 将单引号转换为’的转义字符使sql语句成功执行,

  但’并未作为数据入数据库,数据库保存的是snow”’’sun而并不是我们想象的snow’’’’sun。

  4.

  条件: PHP magic_quotes_gpc=on

  写入数据库的字符串经过函数addlashes()处理。从数据库读出的字符串未作任何处理。

  数据:  $data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).

  操作: 将字符串:”snow”’’sun” 写入数据库,

  结果: sql语句顺利执行,数据成功写入数据库

  数据库保存格式:snow’’’’sun (添加了转义字符)

  输出数据格式:snow’’’’sun (添加了转义字符)

  说明: PHP magic_quotes_gpc=on 将单引号转换为’的转义字符使sql语句成功执行,

  addslashes又将即将写入数据库的单引号转换为’,后者的转换被作为数据写入

  数据库,数据库保存的是snow’’’’sun

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/bonelee/p/14882868.html