sqllab第十七关通关笔记

知识点:

  • 错误注入
  • update更新语句
    • update 表名 set 字段='输入' where 字段名=数据

通过admin admin进行输入发现是一个数据更新的语句

推测原始语句为update 表 set password='' where username=''

直接构造payload:passwd=admin'+and+exp(710)'

发现有错误提示,说明单引号起作用了,按理说引号已经闭合了,为啥还有错误呢

看提示应该是程序把'where username='识别成字符串了

修改payload:passwd=admin'+and+exp(710)='1

成功触发了exp()函数的错误提示;说明这里可以进行错误注入

接下来利用错误注入获取数据库的名字

构造payload:passwd=admin'+and+extractvalue(1,concat(0x7e,,0x7e))='1

成功获取到了数据库名;好了,收工了

10

相关推荐
hengcaib3 小时前
防封号电销外包公司怎么选合规线路与风控核查方法
笔记
六点_dn5 小时前
Linux学习笔记-shell运算符
linux·笔记·学习
降临-max6 小时前
软件测试基础---项目实战
软件测试·笔记·功能测试·测试用例
鱼子星_7 小时前
【C++】内存管理:内存分布,new/delete的使用及细节处理,new/delete的底层,定位new表达式
开发语言·c++·笔记
愚昧之山绝望之谷开悟之坡7 小时前
回购逆回购
笔记
鱼子星_7 小时前
【C++】string(上):string的基本使用
c++·笔记·字符串
AOwhisky7 小时前
Python 学习笔记(第四期)——字符串:格式化、操作与文本处理——核心知识点自测与详解
开发语言·笔记·python·学习·列表·元组·字典
chnyi6_ya8 小时前
论文阅读笔记 | VIDEOPHY: Evaluating Physical Commonsense for Video Generation
论文阅读·笔记
AOwhisky8 小时前
Python 学习笔记(第六期)——函数:定义、参数传递与作用域
笔记·python·学习·云原生·运维开发·函数·参数传递
玖玥拾8 小时前
Unity 3D 基础(一)Unity基础架构、物理系统、视觉渲染、空间变换与对象查询
笔记·游戏·3d·unity·游戏引擎