Limbus' Blog

欧克，我们来到了第二大关，让我们开始吧！

Less-23：

这一关和第一大关的前面一些题比较像，首先输入？id=1，我们尝试输入单引号，发现报错了，这儿有注入，我输入一个双引号，后面加上–+ ，不报错了，经过多次尝试发现，报错的不明不白，于是就看了一下源码，好家伙，原来是过滤了–+和#，也就是注释符，那好办，直接字符注入 ?id=1' and '1'='1，在中间加上盲注，举个例子：?id=1' and length(database())>1 and '1'='1，其他的就和page1一样就行。

还有一种方法，是利用后面的单引号闭合，使用联合查询。

?id=1' union select '1',version(),'3，在这里因为我们不能使用order by 语句来查询数据，所以我们只能慢慢猜，当我们的字段查询到第四个的时候，报错，说明字段只有三个。然后只要修改version()那里的语句，换成查询语句就可以了。

咋们直接从第二关开始练习

Less-2：

第二关在 id=1 后面直接加一个单引号，报错，所以知道查询语句整体是有的单引号闭合的，所以后面直接跟order by 3--+，正常回显，order by 4--+，报错，超出范围，将id改为-1，后面跟上union select 1,2,3--+，有2和3 的回显