混淆注入

1.定义和原理

image

image

2.大小写绕过

image

过滤掉了union。

大小写绕过。

image

3.||和&&和union和where和limit绕过

image

前后的/表示开头和结尾,第二个/后面的i表示对大小写不敏感。

image

image

image​​

image

可用limit 1,1进行绕过。

image

image

4.绕过groupby,select,单引号,hex,unhex,substr

image

image

​​image

image

image

​​image

​​image

image

image

image

5.绕过空格,等号,双写,双重编码

image

image

image

image

image

image

image

image

6.宽字节注入

image

image

1
http://127.0.0.1:8011/sqli-labs-master/Less-36/?id=1123 %df%27 union select 1,2,3 %23

image

image

image

image

image

image

7.二次注入

image

image

构造恶意用户名,当登录上刚刚注册的账户后,可以修改自己的密码,但是由于’#的闭合以及注释作用,直接可以修改admin的密码。

image

image