心吻
2007-09-19, 07:25 PM
呵呵,相信大家都知道注入是怎么回事。
今天给大家讲下批处理的“注入” 呵呵,原理上可能都是相同的。 没多大意思。 只是大家在写一些关于需要密码的批处理时注意一下就可以了。
给一个范例代码
set /p password=请输入您的密码:
if "%password%" == "123" (echo 您输入的密码正确。) else (echo 您的密码输入有误。)
这样是一个通过输入字符串并通过IF判断的一个语句。 当我们输入 123 的时候,会输出输入密码正确的。 如果输入的是其他字符的话,就会输出 输入密码有误
但,如果我们输入 " == "" (goto :x) ||
这样的话, 批处理的IF语句就会变成
if "" == "" (goto :x ) || " == "123" (echo 您输入的密码正确。) else (echo 您的密码输入有误。)
这样的了。 这样我们就饶过了 密码的判断。
这里我只是写了一个范例在这里。 至于其他的。 大家自己研究吧。 呵呵,个人感觉蛮有意思的啦。 如果是一个批处理需要输入密码的话呢。 我们如果知道其他的标签,我们就可以直接跳过去了。
如果想要直接饶过去呢。 就写 " == "" (echo 1) ||
你看,这样的话就直接饶过去了。
嘿嘿,解决方法呢。就是过滤一下那些特殊字符好了。 主要的就是 & ^ | 这几个。
没什么技术含量。 就是拿来博大家一笑的。。。。
今天给大家讲下批处理的“注入” 呵呵,原理上可能都是相同的。 没多大意思。 只是大家在写一些关于需要密码的批处理时注意一下就可以了。
给一个范例代码
set /p password=请输入您的密码:
if "%password%" == "123" (echo 您输入的密码正确。) else (echo 您的密码输入有误。)
这样是一个通过输入字符串并通过IF判断的一个语句。 当我们输入 123 的时候,会输出输入密码正确的。 如果输入的是其他字符的话,就会输出 输入密码有误
但,如果我们输入 " == "" (goto :x) ||
这样的话, 批处理的IF语句就会变成
if "" == "" (goto :x ) || " == "123" (echo 您输入的密码正确。) else (echo 您的密码输入有误。)
这样的了。 这样我们就饶过了 密码的判断。
这里我只是写了一个范例在这里。 至于其他的。 大家自己研究吧。 呵呵,个人感觉蛮有意思的啦。 如果是一个批处理需要输入密码的话呢。 我们如果知道其他的标签,我们就可以直接跳过去了。
如果想要直接饶过去呢。 就写 " == "" (echo 1) ||
你看,这样的话就直接饶过去了。
嘿嘿,解决方法呢。就是过滤一下那些特殊字符好了。 主要的就是 & ^ | 这几个。
没什么技术含量。 就是拿来博大家一笑的。。。。