Less-29:
堆叠查询,在一条语句之后加上分号,然后接下一条语句,可以一次执行多条语句.
order by 排序,可以;联合查询,可以。参考Less-1。
Background-6 服务器(两层)架构:http://www.cnblogs.com/lcamry/p/5762961.html
Less-30:
与Less-29一样,双引号闭合"。
Less-31:
双引号加括号闭合,参考Less-29。
Less-32:
这一关刚开始使用了各种闭合,发现页面都不对,快绝望的时候才注意到下面这行提示:
懵了一下,我用的明明是 0'union select 1,2,3--+ ,怎么多了一个反斜杠 \,
然后查了一下源码:
addslashes()函数的作用是:
在 单引号 ',双引号 ",反斜杠 \还有NULL前面加上反斜杠\。
所以我们可以用加上%df的方法来进行注入。
利用%df进行注入的原理是:因为源码中所使用的是gbk编码,
在gbk编码中两个字节代表一个汉字,所以在编码时,%df和后面的\也就是%5c变成了一个汉字 運,而单引号 '逃逸了出来。那剩下的事就是用联合注入,不再多说了。
注意: 不知道为什么,我的浏览器在url中输入的时候 # 没办法起到注释的作用,不过改为--+就没问题了。
宽字节注入参考:https://www.leavesongs.com/PENETRATION/mutibyte-sql-inject.html
感谢大佬的博客o(* ̄▽ ̄*)o。
Less-33:
这个…好像和Less-32一模一样。反正我用32关的语句就直接过了。
Less-34:
这一题一进来看见下面的话就觉得单引号要被转义,试了一下,果然
这里应该还是gbk编码了,那么咱们继续%df,
???,竟然失败了?然后不死心的又试了一下%df%27,
结果仍然失败,而且看起来根本就没有转义,我甚至都以为是mysql_real_escape_string()这个函数过滤了,但是看了下源码,确实是gbk的。然后在经历多次失败后去问度娘,最后自己得出了一个总结,(因为没有找到反例,所以不确定是否正确 ):
目前我所了解的对于gbk编码url中和post中的字节转换是少一步的。在post栏里输入的字符不会被自动转换,也就是说在url里面输入%df会被后台转义为 � 这个东西,但是在post中输入%df就还是%df,我们要直接输入%df的转义字符� ,这样效果才等同于在url中输入%df。
然后,这一关只需要在单引号前面加上�就可以通过执行后面的语句进行注入了。
(�这个符号有的符号栏里可能没有,直接复制粘贴就好)。
Less-35:
这一关太坑了,进去之后看到下面的话:
这一看还是转义,于是先试了下单引号,发现确实多了一个反斜杠,然后以为是闭合方式的问题,就不断的尝试不同的闭合方式,接着…我炸了。
最后去看了下源码:
玩我呢?这是玩我呢吧?这就是玩我了啊!!根本用不到单引号双引号什么的,直接加上查询语句就行。不说了,再见ヾ(≧へ≦)〃。
Less-36:
单引号闭合,参考32。
话说,似乎有三关一样啊。
不过这一关主要还是了解mysql_real_escape_string()与addslashes()这两个函数的区别。
mysql_real_escape_string()函数编码的字符是 NULL(ASCII 0)、\n、\r、\、’、" 和 Control-Z。
参考菜鸟教程:http://www.runoob.com/php/func-mysqli-real-escape-string.html
Less-37:
post型输入,加上�就好。
不过用union时记得只有两个,只要union select 1,2就够了。
Less-38:
这个…让干嘛呢?错误了没返回。
Less-39:
试了几次,不用闭合,sql语句应该是$id=$id,出来吧,联合查询!!!
Less-40:
单引号加括号 ') 闭合 ,联。。。…
sqli-labs解答时用到的函数和源码中出现的函数。源码函数。
当然,太简单的函数就不多说了,菜鸟教程会一直在那里等着你的。
