zoukankan      html  css  js  c++  java
  • sqli-lab(15)

    要考四级了 翻译过来就是 基于时间的单引号盲注

    0X01盲注 的了解

    https://www.cnblogs.com/ldhbetter/p/9201840.html

    这里写的清清楚楚

    A 先拆解长度 然后在逐步拆解

    and是与运算;or是或运算。

    区别2:

    and运算要前后两个运算对象都为真是,and运算结果才为真;

    or运算是两个运算对象中有一个为真,or运算结果就为真。

    区别3:

    and运算中如果第一个条件和第二个条件都成立,则and运算符显示一条记录。

    or运算中如果第一个条件和第二个条件中只要有一个成立,则or运算符显示一条记录。

    1通过参数提交,无论怎样的参数,页面都不发生任何变化,都是同一个页面

     

    2、由于页面没有发生任何变化,无法做出有效判断,所以试试基于时间的盲注

    构造的语句:admin'and If(ascii(substr(database(),1,1))=115,1,sleep(5))#

    密码

    正确的话就就是直接返回 错误的话就延时五秒

    由于这里源码是用and 所以你的usernamepassword均为真才会返回真确

     

     思路有了 就用这个方法

    admin'and If(ascii(substr(database(),1,1))>115,1,sleep(5)

    一直拆解表名列名 字段名 当然 得先用长度判断

  • 相关阅读:
    笔试题总结
    ubuntu 14.04 vim install youcompleteme
    c语言位域
    strcmp函数的使用
    Spring多数据源的配置和使用
    根据出生日期计算年龄的sql各种数据库写法
    BZOJ3165 : [Heoi2013]Segment
    BZOJ2725 : [Violet 6]故乡的梦
    BZOJ2851 : 极限满月
    BZOJ2837 : 小强的形状
  • 原文地址:https://www.cnblogs.com/-zhong/p/10921608.html
Copyright © 2011-2022 走看看