延时注入也称时间注入，就是通过在sql语句中插入时间函数sleep，通过sql执行的时间来判断插入的sql语句是否被执行延时注入实在太耗时间就直接用sqlmap跑的。得到flag

1、在网址栏上加?id=1',没有页面无变化，在username上输入?id=1',无报错，查找了相关资料，将1'进行编码转换，发现是1%27,再进行转义变成了1%5c%27，在gbk的环境下（gbk编码在汉字的范围内将两个字节编码成一个汉字），不会有单引号逃逸，但是在utf-8中，一个中文占3个字节，例如“你"经过编码后变成了%e4%bd%a0，我们加了一个单引

1、查看是否存在注入漏洞，加?id=1回显数据正常，加order by 4，发现order by 在引号里2、需要把引号去掉，把?id=1'发现有\',这样也不行，这种情况基本可以判定是宽字节注入，在id=1后面加上%df%27，数据回显正常3、然后在后面加order by 4，出现报错，order by 3，数据回显正常4、查询数据库，?id=1%df%27 and 1=2 un

1、测试是否存在注入，用自动化工具sqlmap2、获取数据库sqlmap.py -u "http://120.203.13.75:8150/New/BlindBased/RankTwo/sql-two/?id=1"  --dbs3、获取到数据库后，查询表sqlmap.py -u "http://120.203.13.75:8150/New/BlindBase

1、查看注入点，?id=1,存在注入2、字段判断，+order by 5 没有变化，发现order by在id的括号里面，为了解决括号的问题，在id=1后加上')--+,顺利解决该问题3、后面按照正常流程就可以得到flag

1、判断注入?id=1',报错，在后面加一个--+，--在mysql中表示注释,返回有数据，存在注入点2、 字段判断用order by 4,报错，显示无第4个地段，然后改成order by 3，数据返回正常3、判断显示位 union select 1,2,3,返回数据无变化，因为在执行时id=1有数据返回，故而后面的select语句不执行，所有要将前面的语句不执行或者是错误的，将id=1&

<?php$name=$_POST['username'];$psd=md5($_POST['password']);$conn=mysqli_connect('localhost','root','root','phpdb');$str = '/and|or|union|select/&

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN""http://www.w3.org/TR/html4/loose.dtd"><html><head><meta http-equiv="content-type" cont

1、久经波折终于搞定了最后一道题，看到题的第一眼是懵逼的状态，不像前面的题基本老师都把步骤给出来了，这道题需要自己结合前面的知识以及百度来完成。2、久经波折的原因还是自己没有完全吸收之前的知识，虽然看到了administrator的桌面文件，但是需要密码，到网上搜了怎么获取密码，得到一个工具，mimikatz，但是怎么在远程的服务器上拿到这个工具一下子把我难到了，在咨询了同学和老师后还是懵逼的，最

<html>    <head>        <meta http-equiv="content-type"  content="text/html; charset=UTF-8"  />