靶场：url中直接注入当前php文件是不行的，使用十六进制（and(16)=616e64a）也不行，有安全狗，但是靶场的安全狗可以使用不被解析的文件进行传参在没有人为设置的情况下，安全狗会认为txt等不会被解析的文件是很安全的，所以可以用这些文件来传参，在这里服务器认为index3.php是一个文件夹，我们访问的是这个文件下的1.txt使用dns解析，在mysql数据库中有这么一个函数：load_

Rank 10 第一眼这玩意没看懂……爆破？好像没爆破啥玩意的吧……难道这道题有坑？百思不得其解，遂找其他同学的writeup参考了……发现不就是第一题的解法吗……好奇怪为什么这样说…………等等…………难道这个才是坑？！啊，兵不厌诈，可恶啊 虽然没看懂要干啥，但是看writeup感觉这个大概是找出几乎所有admin表的数据了吧 那就跟第一题一样的解法，在查找显示点的时

知道表名不知道列名（字段名）的时候可以考虑使用偏移注入 用select 表名.* from 表名 可以查出表 总的来说和联合查询显错注入很像 传统的偏移注入需要用到内连接   找注入点思路：瞎几把乱点找数据库传参，像什么图片啊、文章啊都可以然后尝试注入 使用cookie的偏移注入时，需要将cookie的值用url编码加密一次可以

原理：利用不同的字符编码格式不同例：utf-8是三字符编码，而GBK是双字符编码 在php中，主要涉及到一个叫做魔术引号的东西一种防御方式：magic_quotes_gpc  将数据中的特殊字符前添加转义\字符进行过滤 html实体化 为了绕过magic_quotes_gpc函数，要引入宽字节注入的概念繁体字 運 （运）\的编码是%5c,運的GBK编码是%d

Rank 1 order by一下知道有3个字段了然后用sleep一下突然发现sleep用不用好像都没什么关系而且家里网真的差到没法做这种作业，好多次网页都加载超时的……sleep的时候根本分不清是sleep执行了还是单纯的网页加载慢= =要哭了都 不过看上去跟盲注的应该是一样的，要不我延时注入的题干脆用sqlmap跑跑试试吧！唔……直接偷懒跑sqlmap -u 120.203

Rank 1 开头让我们传参idid=100时You are in…不显示，那么也就是说You are in….代表登陆成功，但是除此之外啥都没有……怎么感觉是熟悉的配方……试试用updatexml有没有用哇，updatexml这个函数真的好强大我的天盲注题我怕不是可以逃课了打开Rank 2是同样的get注入，http://120.203.13.75:8150/New/BlindBase

包含Rank1、2、3Rank 1 首先，风老师在课上强势“透题”，那就先拿下来吧~ 一开始风老师上课的时候一脸懵逼，后来多看了几遍回放和加录总算是明白了…………不就是换了个传参的地方吗，POST咋注入的HEAD一样怎么注，一开始还以为多高大上…… 找了两个插件都不会用，不得已还是把burp suite打开了……麻烦点就麻烦点吧整插件那段时间都够弄完题了结果还没弄好，

包含Rank1、2、3这大体首先引入了一个“万能密码”的概念，即你设定一个查询条件，万能密码能够绕过你的查询条件来查到数据。/**********************************************************//**********************************************************//*****************

包含Rank1、2、3、4Rank 1 刚想猜字段才发现直接把字段名给我了，我怎么好意思对吧，起手一个单引号id='，喜闻乐见数据库报错 order by的时候会被自身语句的单引号闭合导致语句失效 所以在这里需要将前面的单引号闭合，将后面的单引号整掉，在这里采用了将后面不需要的语句注释掉的方法。单行注释不同的数据库有不同的语法，详见https://blog.c

首先，界面如下咳咳，请不要吐槽怎么那么多报错，我懒得新建一个.php文件直接把表单提交到当前页面了，这里的是变量没收到提交的数据的报错，不影响使用只是不美观废话不多说，开始演示 input采用了前后端双重验证：验证的正则表达式是[A-Za-z0-9]{6,10}前端： 后端：    在开始过滤字符之前作了一些注入的操作，结合这条SQL语句