第17关：

这是一个重置密码的功能存在sqk注入，尝试账号密码都输入'"，发现只会显示登陆失败，没有报错信息。

这个时候先推测一下后台的sql形式大概应该是： update users set password = ? where name =?

那么实际上是有两个处注入，我们可以先尝试name参数的注入

分别输入：

uname=1' or 1=1 # &passwd=1&submit=Submit

uname=1') or 1=1 # &passwd=1&submit=Submit

uname=1"or 1=1 # &passwd=1&submit=Submit

uname=1") or 1=1 # &passwd=1&submit=Submit

发现页面都没有变化，于是我初步判断username参数可能没有注入漏洞

尝试password参数，这里我踩了一个坑，我开始输入的是

分别输入

uname=1 &passwd=1' or 1=1 # &submit=Submit

uname=1 &passwd=1') or 1=1 # &submit=Submit

uname=1 &passwd=1"or 1=1 #&submit=Submit

uname=1 &passwd=1") or 1=1 #&submit=Submit

发现页面也没有变化，后来看了源码才发现

这里会先用uname进行查询操作，存在该用户才会进行修改操作，于是我输入

uname=admin &passwd=1' or 1=1 # &submit=Submit

显示成功页面了，说明后台是使用的单引符号进行的拼凑。

输入uname=admin &passwd=1‘&submit=Submit  ，看下程序是否会报错（如果不报错，就只能尝试盲注了）

可以看到有报错信息，可以先尝试报错注入。

后面的就直接将select user()替换成其他的查询语句即可。

这里还有一个点需要注意的，concat里面不能直接使用~，必须用0x7e。

第十八关：

这关是一个关于http header的注入

使用正确的账号密码登陆后发现，会将http header中的User-Agent显示在页面上，这关需要利用到burp，输入正确的账号密码后，提交，使用burp拦截。

我在User-Agent后面加单引符号后，发现页面会爆sql的错误，如下图

从报错信息可以看到后面还有两个参数，一个是ip，一个是用户名。如果对sql语句有一定了解的人，应该知道后台应该是个insert的操作

INSERT INTO 表名称 VALUES (值1, 值2,....)

INSERT INTO table_name (列1, 列2,...) VALUES (值1, 值2,....)

不管是上面哪一种，我们只需要使用报错注入后将后面的的参数补全，然后加上注释，如下图：

成功查询出数据

后面的操作就不继续了。
HTTP 请求头中除了 User-Agent可能存在sql注入意外，还有referer、X-Forwarded-For可能存在sql注入。

第十九关：
这是一个referer的注入，上一关也提到了，测试方法和上一关完全一样，只是出现的地方不一样而已。