最近在centos上安装了一下awvs13（主要是根据这个教程安装的https://www.sqlsec.com/2020/04/awvs.html，安装包也是用的这个教程里的）安装完成后遇到了两个问题，一个是无法通过https连接awvs服务器另一个是后来通过http连接上awvs服务器之后，却一直无法扫描，报的error是Threat level could not be determined

sqli-labs通关（less1~less10）_箭雨镜屋-CSDN博客sqli-labs通关（less11~less20）_箭雨镜屋-CSDN博客sqli-labs通关（less21~less30）_箭雨镜屋-CSDN博客

Less21这关刚开始还是和Less20一样，进去是个登录的页面输入正确的用户名和密码之后，返回的页面有User-Agent，客户端ip地址，cookie，用户名，密码，用户id等信息登录过程中burpsuite也是抓到两个报文，第一个是发送用户名和密码的POST报文，第二个是GET报文且携带cookie仔细看这关的GET报文，就和上一关不一样了，Cookie中uname参数的值是base64编码

第5页

第3页第一种Dave' union select userid,user_name,password,cookie,'5','6',7 from user_system_data-- ss第二种1';select * from user_system_data-- ss第5页

Less1-Less10的时候爆的是当前数据库，root用户的强大力量没有显示出来，本文的10关打算跨库爆数据。Less11本关可以union注入也可以报错注入，但还是union注入方便点，这里我就用union注入了。另外，根据代码，注入点可以是uname也可以是passwd，本文以uname为例。假设我不知道存在的用户名，于是我post data输入：uname=ele'&passwd=