开始挑战第十四关(Double Injection- Double quotes- String)
访问地址,输入报错语句 ' '' ') ") - 等使其报错
分析报错信息
很明显是需要采用双引号进行闭合,开始利用and来测试
猜解字段数,这里是2个
union select联合查询,加入使其报错
木有反应,那我们再试试报错函数,这里我使用updatexml来玩玩
获取数据库,版本,用户信息
获取表名
获取字段名
获取数据
开始挑战第十四关(Double Injection- Double quotes- String)
访问地址,输入报错语句 ' '' ') ") - 等使其报错
分析报错信息
很明显是需要采用双引号进行闭合,开始利用and来测试
猜解字段数,这里是2个
union select联合查询,加入使其报错
木有反应,那我们再试试报错函数,这里我使用updatexml来玩玩
获取数据库,版本,用户信息
获取表名
获取字段名
获取数据