在HTTP請求中禁用URL編碼

Question

我正在寫一個小型的perl工具，它應該可以幫助我在盲目的SQL注入攻擊期間加速一些進程（這是一種道德工具，這是我的工作）。

我的腳本管理HTTP請求已經用十六進制值（％xx）進行網址編碼。 因此，當我使用HTTP::Request將其發送到Web瀏覽器時，我的請求會被編碼兩次。

我用這樣的代碼：

my $ua = LWP::UserAgent->new; 
my $httpreq = new HTTP::Request GET => 'http://192.168.0.1/lab/sqli.php?id=1%20and%20(select%20ascii(substring(user,3,1))%20from%20mysql.user%20limit%201)>100%23'; 
my $res = $ua->request($httpreq) 

如何禁用我的要求內perl的URL編碼？

Answer 1

HTTP ::請求不修改提供的URL。

任何URL編碼都必須在URL組裝完成之前完成—它實際上是編碼爲—的URL組件，因此HTTP :: Request預期編碼已經完成。

>perl -MHTTP::Request -e"print HTTP::Request->new(GET => 'http://192.168.0.1/lab/sqli.php?id=1%20and%20(select%20ascii(substring(user,3,1))%20from%20mysql.user%20limit%201)>100%23')->as_string;" 
GET http://192.168.0.1/lab/sqli.php?id=1%20and%20(select%20ascii(substring(user,3,1))%20from%20mysql.user%20limit%201)%3E100%23