当前位置: 代码迷 >> 综合 >> sqli-labs练习(五)------GET-Double injection-Single Quotes-String
  详细解决方案

sqli-labs练习(五)------GET-Double injection-Single Quotes-String

热度:70   发布时间:2023-09-23 01:00:28.0

sqli-labs练习(五)------GET-Double injection-Single Quotes-String
按提示,输入id参数1,得到回馈结果,但是没用
sqli-labs练习(五)------GET-Double injection-Single Quotes-String
输入1',报错
sqli-labs练习(五)------GET-Double injection-Single Quotes-String
查看报错信息near ''1'' LIMIT 0,1' at line 1
输入参数1'',没有报错,
sqli-labs练习(五)------GET-Double injection-Single Quotes-String
通过以上过程可以发现,当我们改变参数的时候,回显只有两种结果
1>You are in...........
2> 报错信息
没办法,正确的查询只返回第一种情况,那么只能靠第二种回显结果了,即利用错误回显得到我们想要的查询结果,也就是将查询结果在错误提示中反馈到前端页面。

有了思路,那么接下来就是手段或方法的问题了,在sql查询中有这样一种情况,那就是利用子查询,其原理就是通过构造一种合适的子查询语句,可以将查询的一部分结果以报错的形式返回。

在运用这样一个神奇的子查询语句之前,我们需要理解下面4个函数:

  • rand():该函数的作用是产生0-1之间的随机数
  • floor(a):该函数返回一个最大的,但是不大于a的整数
  • count():聚合函数也称作计数函数,返回查询对象的总数
  • group by clause:根据clause对查询结果进行分组

构建下面一个子查询语句,这个语句也是前人的总结结晶,形式比较固定,比如在错误回显中显示当前数据库名
-1' union select count(*),2,concat(':',(select database()),':',floor(rand()*2))as a from information_schema.tables group by a%23
由于rand()函数的随机性,需要多次刷新,会得到下图结果
sqli-labs练习(五)------GET-Double injection-Single Quotes-String

再次构造,获取数据库security中的表名
0' union select count(*),2,concat('/',(select group_concat(table_name) from information_schema.tables where table_schema='security'),'/',floor(rand()*2))as a from information_schema.tables group by a%23
sqli-labs练习(五)------GET-Double injection-Single Quotes-String

OK,第5节的内容到这里就结束啦。

  相关解决方案