一.web题解题流程

1.提示信息

        面对一道web题时,先注意题目名字或者提示。如'eazy_sql'则大概率为sql注入题目。若含有'flask''tornado'等词，可以考虑去搜索这些服务器的历史漏洞。

2.收集信息

        可以使用dirsearch等工具扫描目录，有可能找到www.zip等文件，大概率包含源代码，用于代码审计。或者/admin等目录，才是真正要去寻找漏洞的目录。

        还可以查看源代码，有些源码或提示信息会以注释的方式隐藏在前端。

        如果真的没线索，可以抓包，提示信息可能隐藏在cookie或自定义的header字段中。

二：SQL注入

1.绕过技巧

        可以自己写一个关键词目录，然后用bp的爆破模块攻击，来确定过滤哪些单词。以下是我自己写的关键词目录。

<code>’

#

union

left

substr

mid

(

)

,

insert

and

or

=

database()

column

table

length

/**/

ascii

if

from

flag

select

where

group

*

/

in

not

chr

ord

column

table

information

schema

&&

||

        substr可用mid代替，ord可用ascii代替，空格可用/**/或括号代替。

例如：

select(flag)from(flag)

2.堆叠注入

show tables展示所有的表

handler table_name open;handler table_name read first #如果表名是数字，需要加`  `

3.特殊技巧

数据库存在截断和去除末尾空格的机制。

如果遇到如下情况：

if($POST[a]=='admin){

die();

}

但你需要登录admin账户。你可以:

a=admin 1

这样可以绕过比较，但插入数据库时由于字符串过长，会把后面去掉，插入的用户名就为admin，达到目标。

如果遇到如下:

select * from user where username="POST[a]" and password="POST[b]";code>

但是引号又被过滤了，可以:

a=admin\

b= or 1=1#

'\'可以把sql语句中的'注释掉，语句变为：

select * from user where username='admin\' and password =' or 1=1 #code>

语句恒成立。

三：文件包含漏洞