sqli-labs:Less-16关卡详细解析

看天走路吃雪糕2025-08-01 10:57

1. 思路🚀

本关的SQL语句为:

sql 复制代码 
$uname='"'.$uname.'"';
$passwd='"'.$passwd.'"'; 
@$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1";
  • 注入类型:字符串型(双引号、括号包裹)、POST请求
  • 提示:参数需以")闭合

php输出语句的部分代码:

php 复制代码 
if($row)
{
 	//echo '<font color= "#0000ff">';	
 	echo "<br>";
	echo '<font color= "#FFFF00" font size = 4>';
	//echo " You Have successfully logged in\n\n " ;
	echo '<font size="3" color="#0000ff">';	
	echo "<br>";
	//echo 'Your Login name:'. $row['username'];
	echo "<br>";
	//echo 'Your Password:' .$row['password'];
	echo "<br>";
	echo "</font>";
	echo "<br>";
	echo "<br>";
	echo '<img src="../images/flag.jpg"  />';	
	echo "</font>";
 }

同样没有回显语句,根据本关卡标题选择时间盲注,那么就顺便学习一下:

  • 布尔盲注
  • 时间盲注✅
  • 报错盲注

2. 问题❓

这个题我通过手工的注入和sqlmap都搞不出来,做个标记。

大家有什么见解吗,欢迎交流下!

声明:本文仅用于安全学习,严禁非法测试! ❗❗❗

相关推荐
lcreek4 天前
SQL盲注漏洞详解 DVWA High
网络安全·sql注入
lcreek5 天前
SQL 注入漏洞详解:从原理到防御的完整学习指南
网络安全·sql注入
三垣网安6 天前
记一次补天公益SRC漏洞挖掘:弱口令+SQL注入+信息泄露
sql注入·信息泄露·弱口令
lcreek7 天前
SQL盲注漏洞详解 DVWA Medium
网络安全·sql注入
lcreek7 天前
SQL 注入实战:DVWA High 完整测试指南
网络安全·sql注入
lcreek8 天前
SQL 注入实战:DVWA Medium完整测试指南
网络安全·sql注入
lcreek8 天前
SQL 注入实战:DVWA LOW完整测试指南
网络安全·sql注入
探索者011 个月前
SQL注入深度解析笔记:从DNSlog外带到高级绕过技术
web安全·sql注入
探索者011 个月前
SQL注入介绍
web安全·sql注入
其实防守也摸鱼1 个月前
Sqlmap:选取sqli-labs中less-8进行sqlmap注入测试
前端·css·网络·安全·web安全·less·sqli-labs
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06HTTP 与 HTTPS 的区别:从原理到实战详解072026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?08上线仅72小时被强制下架:Claude Fable 5 的短命09AI科技热点日报 | 2026年6月1日10Codex 下载安装指南:Windows 和 macOS 官方版下载