sqli-labs 9-10笔记

Less 9

 

 

 

 

 

 发现无论输入什么内容页面回显都相同，查看源码发现这关注释了sql报错语句

 

 在这种情况下，不能使用布尔盲注(布尔盲注只适用于页面对正确和错误的结果有不同的反应),这里使用时间盲注进行注入，从源码可知这关的sql闭合方式依然为单引号闭合,为了验证这一点，我们可以用时间盲注进行测试

 

 

if()函数，如果1=1条件满足且sql语句语法正确，则执行sleep(5),否则直接返回，发现当使用单引号时

 

 返回时间为五秒

换成双引号

 

 

 

 直接返回，说明闭合方式确实为单引号

知道了闭合方式后，进行进一步测试

首先判断数据库长度

 

 

 

 

 

 

 

 说明数据库长度为8

逐个判断数据库的字符

 

 

 

 说明第一个字符为s,其余字符判断类似

 继续判断所有表名的长度

 

 

 

 

 

 

 

 说明表名的总长度为28(加上group_concat函数产生的括号)

逐个判断表名

 

 

 

 

 

 

 

 易知表名的第一个字符为e,其余判断类似

得到所有表名后，继续判断字段的相关内容

首先判断所有字段长度，这里以users表为例

 

 

 

 

 

 

 

 说明users表的总字段长度为19

继续判断各字段名

 

 

 

 

 

 

 

 说明第一个字符为i,105的十进制ascii码对应i

余下字符判断类似

继续判断字段所有内容的总长度(这里以users表的username,password字段为例)

 

 

 

 

 

 

 

 两个字段内容总长度175

继续逐一测试两个字段的具体内容

 

 

 

 

 

 

 

 说明第一个username字段的内容以D开头，余下字符判断类似

Less 10

闭合方式变成了双引号，其余与9类似，依旧使用时间盲注