预备知识
经过前面课程的学习,我们掌握了基本的注入手段。但是随着网站开发人员的安全意识的提高,纷纷使用了各种防注入的手段。最简单的就是条件过滤了。
条件过滤,顾名思义就是黑名单机制,过滤掉符合条件的语句。因此我们要想办法绕过过滤,用其他方式来实现注入。
MySQL支持的语言结构:https://dev.mysql.com/doc/refman/5.7/en/language-structure.html
实验目的
1)学会绕过过滤条件。
实验环境
服务器:windows2003,IP地址:10.1.1.10。
客户端:winXP,IP地址随机分配。
实验步骤一
打开桌面上的火狐浏览器,打开『绕过条件过滤』下面的『GET-基于错误-过滤注释』,根据提示完成实验。
关键代码为:
解析:首先看到GET方式,要习惯的打一个半角英文单引号。我们这里打一下试试: