m0_51607644的博客

#一、python下载#二、环境变量#三、SQLmap下载#四、SQLmap运行

1、说明handler语句不具备select语句的所有功能。handler是mysql专用的语句，没有包含到SQL标准中。它每次只能查询1次记录，而select可以根据需要返回多条查询结果。资料上说它可以降低优化器对于SQL语句的解析与优化开销，从而提升查询性能。2、handler语法 HANDLER table_name OPEN [ [AS] a] HANDLER table_name READ index_name { = | <= | >= | < | > } (v

less46~49 order by注入SQL语句$sql = “SELECT * FROM users ORDER BY $id”;我们可利用 order by 后的一些参数进行注入。1.时间盲注playload: ?sort=1 and if( left( (database()), 1) ='s' ,1,sleep(3))--+2.报错注入playload:?sort=1 and updatexml(1,( select group_concat(0x7e,username,passw

写在前边简单说堆叠注入就是将将两个SQL语句同时执行以封号隔开。虽然我们前面提到了堆叠查询可以执行任意的 sql 语句，但是这种注入方式并不是十分 的完美的。在我们的 web 系统中，因为代码通常只返回一个查询结果，因此，堆叠注入第 二个语句产生错误或者结果只能被忽略，我们在前端界面是无法看到返回结果的。 因此，在读取数据时，我们建议使用 union（联合）注入。同时在使用堆叠注入之前， 我们也是需要知道一些数据库相关信息的，例如表名，列名等信息。less38~less41这几关就直接放在一起做总结了

写在前边%df 吃掉 \在mysql中，用于转义（即在字符串中的符号前加上”\”）的函数有addslashes，mysql_real_escape_string，mysql_escape_string等大家都知道%df’ 被PHP转义（开启GPC、用addslashes函数，或者icov等），单引号被加上反斜杠\，变成了 %df\’，其中\的十六进制是 %5C ，那么现在 %df\’ =%df%5c%27。GB2312、GBK等这些都是常说的宽字节，实际上只有两字节。宽字节带来的安全问题主要是吃ASC

首先介绍一下 29,30,31 这三关的基本情况： 服务器端有两个部分：第一部分为 tomcat 为引擎的 jsp 型服务器，第二部分为 apache 63Mysql 注入—sqlilabs—lcamry 为引擎的 php 服务器，真正提供 web 服务的是 php 服务器。工作流程为：client 访问服务器， 能直接访问到 tomcat 服务器，然后 tomcat 服务器再向 apache 服务器请求数据。数据返回 路径则相反。此处简单介绍一下相关环境的搭建。环境为 ubuntu14.04。此处以.

less23问题：分析代码发现它将get到的id值通过preg_replace函数进行了处理。导致无法使用‘–+’‘#’来注释SQL语句后边的内容。应对策略：使用’单引号闭合来实现SQL语句的拼接实现：?id=-1’ union select 1,(select group_concat(username,0x7e,password) from security.users),'3第一个’（单引号）闭合-1，第二个’（单引号）闭合后面 的。使用-1是因为为了让我们自己构造的数据 可以正常输出，第一个

less18可以看到这个post数据包header部的注入，注入点是uagent（User-Agent）。步骤：设置代理，burpless19less20

SQL–labs注入sqlmap工具注入

SQL注入SQL-Labs Less5加上\ 发现错误：’‘1’ LIMIT 0,1’ 去两边单引号：‘1’ LIMIT 0,1推测原SQL语句： select *from table where id=idlimit0,1;id limit 0,1;idlimit0,1;id=‘输入的id’可是输入正确的id后却不可输出对应的账户和密码因此推测该关卡是：SQL盲注。先说下对几个函数的理解｜1.left( a, b)含义：返回字符串a的前b个字符。因此可利用database()返回的数