绕过and-or字符注入:

跟平时一样我们先用单引号试一试。

发现我们报错了。

那我们就和平时一样。

截屏2020-02-12下午2.51.30.png

用%23来试试:

发现不报错了。那我们就可以用了确定是一个单引号注入了

截屏2020-02-12下午2.53.06.png

那我们就用order by来测试有多少列了:

但是我们用order by发现报错了。

很奇怪。

截屏2020-02-12下午2.55.06.png

然后我们来看看报的什么错。

截屏2020-02-12下午2.56.28.png

发现了这个。

他把我们的or给吃了。那我们就试试是1.没报完 还是 2.真的把我的or给吃了。

那我们在前面加个a试试

截屏2020-02-12下午2.58.20.png

然后我们发现并不是没有报完而是真的把我们的or给过滤掉了。

所以我们只好用union select了。

截屏2020-02-12下午3.00.13.png

然后在用正常思路来获取。

其实这一道题是吧and和or给过滤掉了。

那我们的解决办法:

可以吧or给变成:

Or/OR/oR/||

把and变成:

And/aND/。。。。/@@

最后修改日期:2020年2月12日

作者

留言

撰写回覆或留言

发布留言必须填写的电子邮件地址不会公开。