打开Less-8
页面,可以看到页面中间有一句Please input the ID as parameter with numeric value
,那么先使用ID
这个参数通过GET
方式传入一个数值。
注入语句:?id=1
。可以看出没有回显查询结果。
接着试一下?id=1'
,发现出错了,但是并不回显错误,。
根据本关的名字知道SQL语句使用单引号
闭合。尝试使用单引号闭合注释看是否成功,注入语句:?id=1' --+
接着使用注入语句?id=1' and 1=1 --+
和?id=1' and 1=2 --+
确定是否存在注入点:
发现前一条注入语句正常,后一条注入语句报错,由此表明此处确实存在注入点。对于前端页面只能显示成功与失败的情况,可以考虑使用布尔型盲注。
注入语句:?id=1' and length((select database()))>5 --+
,length()
函数会返回括号内的字符串长度,例如length('abc')
返回3,表示字符串长度为3,这样上述语句就变成了查询当前数据表是否存在id为1并且当前数据库名长度是否大于5,而我们知道当前数据库存在id为1的用户,那么整个注入语句就可以直接用来判断当前数据库名的长度是否大于5。
从上图中可以看出数据库名的长度是大于5的,接着判断是否当前数据库名是否小于10,使用:?id=1' and length((select database()))<10 --+
,通过这种方式最终可以得出,当前数据库名长度为8。
下一步判断数据库名是什么,使用注入语句:?id=1' and substring((select database()),1,1)<'z' --+
判断当前数据库名的第一个字符是否小于z
,接着通过二分法不断猜解,得出当前数据库名第一个字符为s
,通过此方法最终可以猜解出当前数据库名。接下来的表名、列名、用户名、密码都可以使用此方法猜解得出。其中使用到的注入语句可以参考Less-1。