m0_73248913的博客

Less-65(GET - challenge - Bilnd- 130 queries allowed -Variation 4)手工注入

Less-63(GET - challenge - Bilnd- 130 queries allowed -Variation 2)手工注入自动脚本Less-64(GET - challenge - Bilnd- 130 queries allowed -Variation 3)手工注入

这个应该是用不了只能用延时。

报错注入。

报错注入就可以（布尔注入的话次数不够）(所以我们前面需要做够足够的数据支持)

想到一个办法能绕过需要用到IP池就可以（但是我没有）

单引号闭合，和上一关一样堆叠注入解决。这一关开始后面的可以看做是挑战。有次数限制无法使用sqlmap。已知数据库名要知道表名。10次注入解决数据库。

单引号闭合用注释(没有后续输出只能堆叠注入)不用注释直接堆叠注入。

无回显(还是单引号闭合)，只能使用延时注入。这里需要使用堆叠注入的思路。

接下来就是正常的sql注入流程了。调整数值就能看到所有的数据。数字注入只能使用时间盲注了。

利用 procedure analyse 参数，我们可以执行报错注入。同时，在 procedure analyse 和 orde r by 之间可以存在 limit 参数，我们在实际应用中，往往也可能会存在 limit 后的注入，可以 利用 procedure analyse 进行注入。注意outfile需要调整参数才能成功（我的环境是linux的docker搭建）2)）procedure analyse 参数后注入。这一关的sql语句是利用的order by。或者报错注入(延时注入也是可以的)

和上一关一样只是盲注。

反正这个我是不会的，用默认脚本没做出来。发现问题passwd这里有注入点。这里就可以修改管理员的密码了。创建一个表加入登入信息。这个也没有自动的方法。

数字报错和之前的也没什么区别。需要编码一下，其他的一样。

号失效和一样​​​​​​数字型其他的和上面一样和上面一样。

表示一条sql语句的结束，在后面再次执行下一条sql语句。（union只能苹姐一条select语句）其实可以发现就是简单的都能用，和做sql是一样的操作。概念：执行多条sql语句一起执行。

单引号闭合（单引号自动转换的编码变了直接输入%27）接下来就是和前面的操作一样了。这个也是碰到过的情况。

但是注意一下get方式是会经过url编码的，但是post是不会编码的，我们可以使用utf-8转换成utf-16或者utf-32(利用%bb)接下来就是和之前一样了（注意1=1也可以成功）和之前一样的只是变成了post。注意查字段的时候需要使用盲注。（写掉了单引号后面发现了）一样只是变成post。

要写字符串的话直接吧字符串变成ascii码。sqlmap宽字节绕过只需要加入脚本。由 宽字符注入可知payload。注意16进制的表示方式。

原因是urlencode(‘\)=%5c%27,我们在前面加上%df的话就会变成%df%5c%27纳闷前面的%df%5c会当成是汉字%27就留下来了。mysql在使用gbk编码的时候，会认为两个字符是一个汉字，我们在过滤‘的时候，往往就是将‘转换为\’，所以我们只需要将‘前面的\去除。其实就是构造注释，%**%5c%5c%27后面的%5c 会被前面的%5c 给注释掉。

和上一关一样只是闭合方式变成了”）

这里其实已经确定有sql注入了，后面的和。但是我上一个说了这个是有waf的。此处似乎没有sql注入。

sqllabs

sqlilabs第二十八二十八a关

sqlilabs第二十七二十七a关

sqli-labs第二十六二十六a关

sqli-labs第二十五，二十五a关

sqlilabs第十四关

sqli-labs第十二十三关

sqlilabs第二十一二十二关

sqlilabs第二十关cookie注入

sqlilabs第十八十九关

sqli-labs第十七关教程

sql注入基础应会

sqli-labs第十五十六关

sqli-labs第十三十四关

sqlil-abs第十一十二关

sqli注入第七八关

sqli-labs这九十关是时间盲注。

sqli注入导入导出相关操作的讲解