Sqli-Labs是用来练习sql注入的好平台。project地址:https://github.com/Audi-1/sqli-labs
本文测试环境:使用phpstudy集成环境。mysql版本:5.5.53
Less-15 POST- Blind-Boolian/time Based -Single quotes
Less-16 POST- Blind-Boolian/time Based -Double quotes
Less 15
这关是盲注。没有回显。
payload:
之后根据页面的登陆与否,即是否有flag.jpg图片出现。构造逻辑语句利用脚本注入。
Less 16
payload:
登陆成功。
之后根据页面的登陆与否,构造逻辑语句利用脚本注入。
下面给个基于Less 16的脚本:
注:脚本中的payload的空格我用%90替代了,它对应tab键,可用于绕过对空格的过滤。