m0_75167824的博客

20（标准空格）‌、%09（Tab）‌、%0a（换行符）‌、%0d（回车符）‌、%0c（垂直Tab/换页符）‌、%a0（不可见空格）‌%0b、%20（标准空格）‌、%09（Tab）‌、%0a（换行符）‌、%0d（回车符）‌、%a0（不可见空格）‌%0b、%0c（垂直Tab/换页符）‌。‌场景‌：绕过对特定关键词（如 UNION、SELECT）的过滤，强制数据库执行内联注释中的语句‌。‌场景‌：将敏感关键词拆分到注释符两侧，绕过正则匹配‌。‌原理‌：过滤规则未递归处理注释符时，注释符可隐藏关键词‌。

报错了没有infmation_schema------但是并没有输入infmation_schema，但是可以发现infmation_schema与information_schema就相差一个or有没有可能过滤了or，那么我们进行尝试各种方法进行绕过看可不可以绕过。MySQL中确实可以使用十六进制表示，但通常用于字符串或数值，而不是关键字，直接将0x414e44作为操作符使用可能无效，因为数据库不会将十六进制值解析为关键字。‌注释插入干扰‌：在字段名的敏感部分插入注释，例如，pass/

20（标准空格）‌、%09（Tab）‌、%0a（换行符）‌、%0d（回车符）‌、%a0（不可见空格）‌%0b、%0c（垂直Tab/换页符）‌。‌多层编码混淆‌：组合URL编码、十六进制和Unicode编码（如 %55%4E%49%4F%4E → UNION），测试过滤层的解码顺序‌。方法‌：闭合引号+逻辑运算符‌：' or 1='1 替代注释符闭合‌。FROM FOR语法‌：‌一种替代语法，substr(str from 1 for 1) 替代 substr(str,1,1)‌。

结果果然没有报错了，但是报错注入的返回也没有了，那这样可能是因为截断了正确的double值，而使用了or，只需要其中一个为真就好，后面的报错注入直接不看了导致的，那么我又使用回and。这里为了方便就不一条一条爆出来了，直接用三个回显爆出全部信息，一般来说要一个一个来，因为你知道数据库名，但是不知道表名，不知道表名就不知道字段，不知道字段就不能爆出账号密码。但是我后面又想到既然是截断不正确的double值，‌浮点数数据类型‌，用于表示带有小数部分的数值，那我不使用英文字符了，使用数字字符了。

个人建议使用BurpSuite，因为可以清楚看见自己的注入，如果出现错误比较好检查，也比较好修改，而在页面的输入框直接注入，第一由于输入框的大小限制，很影响注入语句的输入与观看，第二输入提交后注入语句会变成空，如果报错很难检查与修改错误。‌中，而非URL参数，URL中仅包含资源路径，这里就不需要再地址栏进行测试，但是我们可以在页面的账号密码输入里尝试，可不可以进行注入。使用BurpSuite，点击代理然后点击截断的截断请求，然后打开火狐浏览器，打开关卡页面，随便输入账号密码，点击提交。

个人建议使用BurpSuite，因为可以清楚看见自己的注入，如果出现错误比较好检查，也比较好修改，而在页面的输入框直接注入，第一由于输入框的大小限制，很影响注入语句的输入与观看，第二输入提交后注入语句会变成空，如果报错很难检查与修改错误。报错原因：查询表名，但是表名有多个（多行），这里无法全部展示出来，可以使用group_concat与mid，group_concat进行聚合，因为这里注入出来的表名没有超过32个字符，所以可以不使用mid进行截取。limit 0,1：从第0行开始，获取1条数据。

方法一与方法二差不多，看个人喜欢，而且单单从sql靶场这几个关卡来看，post提交这里的sql关卡和前面的get提交差不多，只是将从地址栏注入变成了输入框或者拦截注入。‌中，而非URL参数，URL中仅包含资源路径，这里就不需要再地址栏进行测试，但是我们可以在页面的账号密码输入里尝试，可不可以进行注入。打开BurpSuite，点击代理然后点击截断的截断请求，然后打开火狐浏览器，打开关卡页面，随便输入账号密码，点击提交。数据通过URL参数传递，明文暴露于地址栏，适用于非敏感数据（如搜索关键词）‌。

布尔盲注了，这种页面只会有成功和错误两个状态的页面，不会出现报错显示，这种可以尝试可以通过布尔盲注来不断尝试猜测出数据：并且我们可以使用多种方法来注入。然后一个一个注入出名字的字符的ASCLL码然后对照表将名字完整的获取出来。由于表名与字段名一般不可能只有一个，所以需要多注入出它们的具体数量。发现页面变换，但是没有报错了，只有这两种页面，基本就是布尔盲注了。一般名字命名的字符是在32-128之间，所以测试一般在里面测试。手动进行布尔盲注十分麻烦，首先先要注入出名字的长度。这里发现页面变换，但是没有报错。

发现页面会在加载中转圈圈3秒，说明有时间盲注，如果没有，则进行测试双引号时间盲注测试，一般不是单引号就是双引号，很少有单引号加括号，双引号加括号等等，这里测试是单引号闭合的时间盲注。发现页面会在加载中转圈圈3秒，说明有时间盲注，如果没有，则进行测试双引号时间盲注测试，一般不是单引号就是双引号，很少有单引号加括号，双引号加括号等等。当回显，报错显示，及布尔盲注都无法使用时，即无论怎么输入只有一个页面不会变化。测试是否存在时间盲注即闭合方式。测试时间盲注的闭合方式。单引号的时间盲注测试。单引号的时间盲注测试。

substr(string, start, length) 和mid(string, start, length) 均用于截取字符串的指定部分，两者语法和功能完全一致‌，但是一般使用 mid()，功能相同但兼容性更佳‌，可无缝替代 substr避免潜在语法冲突‌。这里我又在想，如果直接截取最后几个字符，但是又不足32个字符，会不会将前面缺失的第一行报出来，结果测试发现账号密码的数据有点多，我就去表名，突然在注入表名的过程中其实已经知道了，只是没发现，结果是不会的。需多次请求，效率较低‌。

order by可以进行排列，如果order by后面排序的列数与本表的实际列数不同就会报错，可以通过这个进行查询正确的列数，先试一个A，如果没有报错，往上试A+N，如果报错，这个数就A或者A与A+N之间。闭合方式一般有下面几种无闭合，单引号，多引号，单引号+括号')，多引号+括号")，括号+括号))。这时候就可以查询该数据库的所有表名，然后找到管理员表，再查询该数据库下的该管理员表的所有字段名。但是无法查询，原因是单引号进行了限制，可以清楚的看到联合查询的语句在单引号里面，无法使用。

由于seacms开源，可以知道seacmsv9系统数据库（mysql）为seacms，存放管理员账号的表为sea_admin，表中存放管理员姓名的字段为name，存放管理员密码的字段为password。没有返回报错与查询的值，但是查询database()就可以查询数据库表名，于是查询sea_comment，发现居然没有数据，于是就插入了几条数据，发现可以执行了。密码也是如此------注入密码为23a7bbd73250516f069d，可以看出是经过md5加密的，于是到。sqlilabs靶场第46关。

搭建SQL靶场