Sqlsever反弹注入MSSQL环境搭建我们需要一台自己的服务器用来搭建sqlsever，经别人推荐使用香港云（http://www.webweb.com/）注册并搭建，可以使用匿名邮箱新建MSSQL数据库，新建数据库名称和密码，记得保存可以进入后台控制台输入sql指令，输入刚才设置的参数就可以连接先创建一张测试的表test，字段个数为4，列名随便起名，类型都可给varchar(255)，以上服

Oracle报错注入进入靶场页面要输入id参数，我们首先输入?id=1，看看会显示什么接着了解一个Oracle所有的函数1=CTXSYS.DRITHSX.SN(user,(select banner from v$version where rownum=1))会用报错信息显示出我们要查询的数据库版本爆出了数据库版本为11G接着使用sql查询表名表名为admin（注意查询大写）接着查字段第一个字段

1.      进入宽字节注入靶场，输入?id=1’测试有无注入点，发现运用了魔术引号函数magic_quotes_gpc0()试着用‘運’%df%5c进行宽字节注入登录成功，接着连接查询字段个数，经尝试发现为3字段于是查询库名爆出库名为security查询表爆出表名为zkaq查询列名发现表名的单引号前被添加了反斜杠，报错无法查询于是我们尝试用16

进入偏移靶场输入?id=1页面正常显示，再继续输入’显示传参错误，如图对输入参数进行了限制于是尝试cookie注入先随便进入一个页面，如产品中心中机械零件产品用Fn+F12打开控制台，输入document.cookie="id="+escape("105 order by 30");先进行猜字段，然后刷新http://120.203.13.75:8001/P

HTML代码PHP 代码附件中有代码的文档

1、进入靶场发现要输入ID作为参数，得到flag首先在后面加上单引号判断是否存在注入点发现页面正常，又使用id=1查询使用order by查询字段的个数，发现sql语句会存在单引号使语句不能执行于是发现在id=后面和最后存在单引号，我们的目的是消除单引号，于是尝试在id=1后加单引号，在最后加上--+（这是达到一个注释的效果）开始尝试order by 4，经过二分法得到有3个字段继续使用http:

进入正则靶场仔细看这段代码，发现id是传入的参数，只要符合正则规则就可以得到key。重点为两个地方：Preg_match函数有三个参，第一个为正则规则，第二个为需要查询的变量，第三个为输出的变量接下来看正则规则，"/zkaq.*key.{2,9}:\/.*\/(key*key)/i"Zkaq照写，其中（.）为任意字符，（*）为0次或多次，{2,9}为出现的次数的区间，（\）为去

具体见附件