盲注
盲注
盲注题都可用sqlmap注入跑一下
假如界面回显you are in ···为例:
一、布尔盲注(ture false)
界面回显you are in ···,闭合回显you are in ···,错误回显不一样即可尝试使用布尔注入。
二、时间盲注
用sleep(t)界面睡眠几秒
如果发现无论闭合没闭合,界面回显的结果都是You are in ...于是可以大胆的猜测正确的输入和错误的输入返回的结果被设置成一样的了。
由此也可得出这样的结论:
1、不返回报错信息页面,无法进行基于报错信息的盲注。
2、页面不存在true和false两种不同的页面,无法进行对比也就无法进行布尔盲注。
一般来说,在页面没有任何回显和错误信息提示的时候,我们就会测试时间盲注这最后的手法。
尝试闭合,看哪一步睡眠五秒,即为注入点闭合
?id=1 and sleep(5)
?id=1' and sleep(5)-- -
?id=1'' and sleep(5)-- -
?id=1') and sleep(5)-- -
盲注的讲解:https://www.cnblogs.com/lcamry/p/5763129.html
WEB 安全之 SQL注入<一> 盲注:https://www.cnblogs.com/fengh/p/6183928.html
小丑竟是我自己
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 智能桌面机器人:用.NET IoT库控制舵机并多方法播放表情
· Linux glibc自带哈希表的用例及性能测试
· 深入理解 Mybatis 分库分表执行原理
· 如何打造一个高并发系统?
· .NET Core GC压缩(compact_phase)底层原理浅谈
· 手把手教你在本地部署DeepSeek R1,搭建web-ui ,建议收藏!
· 新年开篇:在本地部署DeepSeek大模型实现联网增强的AI应用
· 程序员常用高效实用工具推荐,办公效率提升利器!
· Janus Pro:DeepSeek 开源革新,多模态 AI 的未来
· 【译】WinForms:分析一下(我用 Visual Basic 写的)