SQL注入之Sqli-labs系列第二十五关(过滤 OR & AND)和第二十五A关(过滤逻辑运算符注释符)

时间:2021-03-18 01:35:33

开始挑战第二十五关(Trick with OR & AND) 

第二十五关A(Trick with comments) 

 

0x1先查看源码

  (1)这里的or和and采用了i正则匹配,大小写都无法绕过

SQL注入之Sqli-labs系列第二十五关(过滤 OR & AND)和第二十五A关(过滤逻辑运算符注释符)

(2)看下mysql逻辑运算符,and和or还可以使用&&和||,如下图:

SQL注入之Sqli-labs系列第二十五关(过滤 OR & AND)和第二十五A关(过滤逻辑运算符注释符)

0x2开始测试

(1)首先使用or和and看看,直接被过滤了

SQL注入之Sqli-labs系列第二十五关(过滤 OR & AND)和第二十五A关(过滤逻辑运算符注释符)

 

(2)那就直接改为||  &&利用,成功

 SQL注入之Sqli-labs系列第二十五关(过滤 OR & AND)和第二十五A关(过滤逻辑运算符注释符)

(3)或者采用双写的方式来绕过oorr

SQL注入之Sqli-labs系列第二十五关(过滤 OR & AND)和第二十五A关(过滤逻辑运算符注释符)

剩下的注入方式都和以前同样,就不测试了。。。。。。。

 

0X3 第二十五A关

这关和二十五关一样,这是过滤了注释符和or和and ,并采用了双引号,利用方式结合二十三关和二十五一起

SQL注入之Sqli-labs系列第二十五关(过滤 OR & AND)和第二十五A关(过滤逻辑运算符注释符)

 

SQL注入之Sqli-labs系列第二十五关(过滤 OR & AND)和第二十五A关(过滤逻辑运算符注释符)

 

标签:

相关文章