混淆注入

1.定义和原理

​​

​​

2.大小写绕过

​​

过滤掉了union。

大小写绕过。

​​

3.||和&&和union和where和limit绕过

​​

前后的/表示开头和结尾，第二个/后面的i表示对大小写不敏感。

​​

​

​​​

​

可用limit 1,1进行绕过。

​​

​​

4.绕过groupby,select,单引号,hex,unhex,substr

​​

​

​​​

​​

​​

​​​

​​​

​​

​​

​​

5.绕过空格，等号，双写，双重编码

​​

​​

​​

​​

​​

​​

​​

​​

6.宽字节注入

​​

​​

http://127.0.0.1:8011/sqli-labs-master/Less-36/?id=1123 %df%27 union select 1,2,3 %23

​​

​​

​​

​​

​​

​​

7.二次注入

​​

​​

构造恶意用户名，当登录上刚刚注册的账户后，可以修改自己的密码，但是由于’#的闭合以及注释作用，直接可以修改admin的密码。

​​

​​

‍