乌漆 WhiteMoon

摘要： Less 50 ~ 53 和 Less 46 ~ 49 的注入方法完全一样，但是这 4 个 Less 可以进行堆叠注入。 #Less 50 ##判断注入类型 输入正常的参数，网页回显用户名列表。对 sort 参数使用单引号闭合，网页返回错误信息。 ?sort=1' 将后面的内容注释掉，网页返回错误的 阅读全文

摘要： Less 46 ~ 49 的网页功能是返回一个列表，因此我们不能借助回显位置进行注入。此时可以根据是否返回报错信息，选择使用报错注入还是时间盲注。 #Less 46 ##判断注入类型 打开网页，这是个新的网页，尝试输入新的参数 sort，网页回显用户名列表。 ?sort=1 改变参数 sort 的值 阅读全文

摘要： Less 42 ~ 45 是使用 POST 提交参数的登录界面，username 字段进行了参数过滤，但是 password 字段没有。此处可以在 password 字段使用万能密码直接夺取用户，也可以在该字段处使用堆叠注入。 #Less 42 ##判断注入类型 打开网页看到登录页面，该页面和 Le 阅读全文

摘要： Less 38 ~ 41 虽然使用 Less 1 的方式注入即可注入成功，但是这 4 关存在堆叠注入漏洞。我们可以使用 “;” 闭合第一个 SQL 语句，然后在后面执行任意的 SQL 语句，通过这个漏洞我们可以对数据库执行任意的操作。 #Less 38 ##判断注入类型 输入正确的参数，网页回显正常 阅读全文

摘要： Less 34、37 和 Less 32、33、35、36 一样，输入的参数都会被转义，不同在于这 2 关使用 POST 方法提交参数，也是通过宽字节注入进行攻击。 #Less 34 ##判断注入类型 注入正常的参数，网页回显正常信息。注入单引号对参数进行闭合，网页虽然返回了正确的信息，但是对单引号 阅读全文

摘要： Less 32、33、35、36 都涉及到了对注入参数的转义，在一般情况下是不能注入的。但是当数据库使用 GBK 国标码或者其他编码时，可以使用恶意的参数把用于转义的斜杠“吃掉”变成其他字符，这就是所谓宽字节注入。使用宽字节注入绕过转义之后，其他的注入步骤和 Less 1 相似。 #Less 32 阅读全文

摘要： Less 29、30、31 都使用了 WAF 进行参数过滤，此处我们需要对 WAF 进行绕过再进行注入。可以使用 HPP 参数污染攻击，绕过 WAF 之后的注入过程和 Less 1 一样。 #Less 29 ##判断注入类型 注入正常的参数，网页返回正常的信息。注入单引号闭合，网页被切换到 hack 阅读全文

摘要： Less 27 和 Less 28 都涉及到了对 “SELECT” 和 “UNION” 的过滤，根据情况我们可以采用大小写过滤或者用其他编码打乱过滤的句式。 #Less 27 GET-Error Based-All your UNION & SELECT belong to us(基于错误的过滤了 阅读全文

摘要： Less 26 在过滤了 “OR” 和 “AND” 的基础上，进一步把空格和注释符过滤了，这就导致我们之前的一些操作都无法正常实现。当网页返回错误信息时，可以使用不需要空格的报错注入，如果没有返回错误信息也可以使用其他字符替代空格。注意在 windows 下由于 apache 的解析的问题，无法使用 阅读全文

摘要： Less 25 的注入过程和 Less 1 的完全一样，但是 Less 25 开始对 “OR” 和 “AND” 2 个字符串进行过滤，此时我们可以使用双写绕过来应对这种过滤。 #Less 25 Trick with OR & AND(过滤了 OR 和 AND 的注入) ##判断注入类型 首先注入正常 阅读全文