webug4.0通关笔记---(第一天:布尔注入)

最新推荐文章于 2023-07-13 23:06:38 发布
最新推荐文章于 2023-07-13 23:06:38 发布
阅读量763 收藏
点赞数
分类专栏: 漏洞原理与分析 学习 靶场 文章标签: sql 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liver100day/article/details/116056431
版权
本文详细介绍了SQL布尔注入的过程,包括判断注入点、确定注入类型、爆破数据库信息如字段长度、数据库版本、用户名、数据库名称等。通过示例展示了如何在Webug4.0靶场中进行布尔注入,最终揭示了布尔注入在实战中的应用和可能遇到的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

布尔注入

页面在执行sql语句后,只会显示两种结果,Tuer or False 也就意味着,它不需要报错,不需要知道准确的字段个数, 归根结底它只关心一点: 我们的sql到底有没有被执行成功

如果还没有搭建webug靶场,可以参考我写的这边教学,进行搭建https://blog.csdn.net/liver100day/article/details/115857058

在本次注入中,我们会频繁的使用到下面命令:

length(str):返回str字符串的长度
substr(str, pos, len):str:要截取的字符串,pos:开始截取的位置,len:截取的长度 将str从pos位置开始截取len长度的字符进 行返回。注意这里的pos位置是从1开始 的,不是数组的0开始
mid(str,pos,len):str:要截取的字符串,pos:开始截取的位置,len:截取的长度 截取字符串
ascii(str):返回字符串str的最左面字符的ASCII代码值。
ord(str):返回字符串str的最左面字符的ascii码
if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0

开始注入

判断注入点

打开靶场
在这里插入图片描述
输入万能的SQL漏洞查询'来查看是否存在SQL漏洞
在这里插入图片描述
发现页面出现了明显的变化,可以判断这里存在SQL布尔注入

判断注入类型

输入1' and '1'='1来判断类型,如果是数字型的话,输入这一句会报错
在这里插入图片描述
可以看到,这里页面返回正常,说明并不是数字型,而是字符型

爆破数据库的一些重要信息

判断字段长度

这里以及后面操作之所以后面要加%23是因为,这里注入点将#过滤掉了,而同时又因为是字符型的注入,我们需要#来闭合掉后面的',使之能够被正常运行,而%23#的十六进制形式,所以可以绕过过滤使语句正常执行。
输入1' order by 1%23
在这里插入图片描述
可以看到,页面返回正常,说明字段长度肯定是大于或者等于1的,我们继续试
但是当我们输入1' order by 3%23时,页面发生了变化,说明字段长度比3小,所以我们得出字段长度为2

最低0.47元/天 解锁文章
webug4.0通关笔记----(第一天:显错注入
liver100day的博客
04-23 822
布尔注入 布尔盲注:根据注入信息返回true or fales 没有任何报错信息 非法的用户可根据返回的报错信息,获取到数据库的重要信息 开始注入 在本次注入中,我们会频繁的使用到下面命令: length(str):返回str字符串的长度。 substr(str, pos, len):str:要截取的字符串,pos:开始截取的位置,len:截取的长度 将str从pos位置开始截取len长度的字符进 行返回。注意这里的pos位置是从1开始 的,不是数组的0开始 mid(str,pos,l
Webug4.0靶场通关笔记(第一天)--------显错注入布尔注入
Yasso的博客
02-20 1142
一、显错注入 打开靶场试试尝试修改为id=2,回显hello。 1、首先判断注入点 插播一条,php版本必须为5.3.29,不然不会报错!!!!!!!!!!!!!!!! 尝试加单引号,会报错, (%23不能在hackbar上输入,否则会一直报错,我们来测试下在hackbar上输的%23到url上变成了%2523,很明显这是#的二次url编码)还是不用hackbar了,也可能是我的hackbar有问题。 ?id=1’ 页面报错 ?id=1’ or 1=1%23 页面显示正常 (这里#貌似被过
webug4.0布尔注入
Stephen Wolf
01-09 794
盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。盲注一般分为布尔盲注和基于时间的盲注和报错的盲注。本次主要讲解的是基于布尔的盲注。 Length()函数 返回字符串的长度 sleep(n):将程序挂起一段时间 n为n秒 if(expr1,expr2,expr3):判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句 left(da...
webug4.0通关笔记
alert['Hello World']
11-03 7219
目录显错注入布尔注入延时注入post注入过滤注入宽字节注入xxe注入csv注入反射型xss存储型xss万能密码登陆任意文件下载DOM型xss过滤xss链接注入任意文件下载mysql配置文件下载文件上传(前端拦截)文件上传(解析漏洞)文件上传(畸形文件)文件上传(截断上传)文件上传(htaccess)越权修改密码支付漏洞邮箱轰炸越权查看adminURL跳转文件包含漏洞命令执行webshell爆破ssrf 环境下载地址: 显错注入 注入点: control/sqlinject/manifest_error.
webug4.0通关
qq_18831583的博客
07-01 427
一、显错注入 1、id换为2,3,4 http://10.128.175.155/control/sqlinject/manifest_error.php?id=1,可以看到前端显示不一样的内容2、查看字段数:order by 2 order by 1,order by 2时,可以正常显示,order by 3时报错,可得到字段数为23、查看回显点:union select 1,2 可以看到回显点在第二个字段,可以替换第二个字段来获取数据库的相关信息4...
webug4.0布尔注入-2
weixin_34405925的博客
03-14 4013
/*做这个到最后爆表的时候手工终于爆完了,然后发现爆错表了真是暴风哭泣*/   布尔注入是盲注之一,进行sql语句注入后,选择的数据并不能返回到前端。只能利用其他方法来判断,还是简单介绍下学到的知识点。 1. left(database(),n)    database() 数据库名称 left()函数表示截取数据库左侧n个字符 2. substr(a,b,c)      从字符串a的...
Webug4.0靶场通关笔记(第二天)--------延时注入和post注入
Yasso的博客
02-20 898
一、延时注入 延时注入是基于布尔注入的, 简单来说, 是通过if语句返回的真(true)或假(false)来确定是否执行网页延迟响应,当布尔注入不成功时,即不能直接观察页面的返回正常与否来判断sql语句是否执行成功, 我们这时候就可以采用延迟注入。 1.先判断字段数 2.判断数据库(webug) ?id=1’ and if(substr(database(),1,1)=‘w’,1,sleep(5))%23 (判断数据库第一个字母是否为w,是的话页面正常,否则沉睡5秒) ?
Webug4.0 sql布尔注入
angry_program的博客
01-04 708
布尔注入也叫布尔型盲注手工注入, 虽然可以使用工具一步完成, 但是最好还是需要懂得原理 布尔布尔(Boolean)型是计算机里的一种数据类型,只有True(真)和False(假)两个值。一般也称为逻辑型。 盲注 在注入时页面无具体数据返回的注入称之为盲注,一般是通过其他表现形式来判断数据的具体内容 ps: 这就区别与上篇文章的Webug4.0 sql显错注入中会直接返回错误信息...
webug 2、布尔注入
乔木同学
03-15 4789
webug第二关,布尔注入
webug4.0-布尔注入
nex1less的博客
08-25 1899
布尔注入介绍:对于基于布尔的盲注,可通过构造真or假判断条件(数据库各项信息取值的大小比较,如:字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码...),将构造的sql语句提交到服务器,然后根据服务器对不同的请求返回不同的页面结果(True、False);然后不断调整判断条件中的数值以逼近真实值,特别是需要关注响应从True<-->False发生变化的转折...
webug--布尔注入
gclome的博客
05-09 769
访问靶场: (1)判断注入点 输入id=1’有反应 (2)判断字段数 利用二分法,可以判断出字段数为2 id=1' order by 2 %23 (3)爆出当前数据库名 id=1' union select 1,database() %23 爆出数据库名为webug4)爆出当前数据库下的表 id=1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='webug'%2
webug 4.0通关
SwBack的博客
04-04 1161
去年写的,写完就忘记了。第二关到第五关记得当时嫌麻烦没搞。。凑合看吧推下导航页面,极客导航 | 用爱发电第一关 显错注入打开页面,猜测URL是注入点,单引号测试,成功报错。查询字段长度1'order by 2--+ 回显正常1'order by 3--+ 报错 字段长度为2 查询数据库名,可以看到,只有第二个字段有输出。如此使用group_concat()进行查询。1'union select 1...
webug 4.0 第二关 布尔注入
ONS_cukuyo的博客
02-28 2422
感谢webug团队一直以来的更新维护! webug是什么 WeBug名称定义为“我们的漏洞”靶场环境基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBug的web环境都装在了一个纯净版的Windows 2003的虚拟机中。 Webug官网:http://www.web...
Webug4.0靶场通关笔记(第八天)--------22-26
Yasso的博客
02-26 653
一、越权修改密码 二、支付漏洞 三、邮箱轰炸 四、越权查看admin 五、URL跳转 一、越权修改密码 二、支付漏洞 三、邮箱轰炸 四、越权查看admin 五、URL跳转
webug4.0通关之路(1)显错注入
weixin_45822019的博客
04-25 844
一、题目打开 二、在URL处进行注入测试 三、利用注入点 猜测列: 暴库: 爆表名: 爆列名: 探测字段内容:
webug-布尔注入
我只会装360的博客
09-17 916
布尔注入是盲注之一,进行sql语句注入后,选择的数据并不能返回到前端。只能利用其他方法来判断,还是简单介绍下学到的知识点。 left(database(),n)    database() 数据库名称 left()函数表示截取数据库左侧n个字符 substr(a,b,c)      从字符串a的b位置开始截取c个字符,当b为负数时截取位置是从字符串a右端向左数b个字符 mid(a,b,c) ...
webug4.0靶场通关笔记
qq_47289634的博客
07-13 2213
这里我试了空格或者“.”绕过,::$DATA绕过,双后缀名绕过,%00截断但是都不可以,这里可以使用生僻字进行绕过,比如这个 龘(),在repeater里面将文件名改为 shell.php龘.jpg,发现上传成功,这是因为他无法对这个字进行编码,所以后面的信息全部被过滤掉了。所谓越权就是用普通用户拥有管理员用户的权限,比如user的id=1,管理员的id=0,通过抓包修改这个参数,就可以达到越权的目的。打开靶场地址,把id参数改为-1,发现跟1比起来,内容缩短了一些,回显不一样。
webug笔记——注入
gbxiaowang的博客
06-01 467
一、布尔注入 id=1‘’or 1=1–+ 这里存在注入点 id=1%27order%20by%203–+ 利用order by判断字段 Order by 3的时候页面发生变化。 所以应该是有两个可以显示的地方。 利用left()函数判断数据库名,先判断数据库名长度 大于5的时候页面发生变化,说明数据库名长度应该是5. id=1’ and left(database(),1)>‘w’–+ 猜测出数据库名的第一个字符是w 前两个是we,这样逐步猜测出数据库名是webug. 查看当前数据库表 i
Webug4.0靶场通关笔记(第九天)--------完结篇
Yasso的博客
02-27 1240
一、文件包含漏洞 二、命令执行 三、webshell爆破 四、ssrf 明天就开学了~~唉,剩下的就都打完算了!!! 一、文件包含漏洞 文件包含漏洞在ctf上种类有很多,我接触过的有php伪协议、日志包含、目录遍历、session文件包含等等。全阐述的话我是讲不完(主要还是菜),就拿这webug4.0的靶场当例子吧. 打开靶场注意url栏(文件包含直接读取的是文件,而不是文件源码,所以要想办法读取源码(index.php),这里用的是base64读取) ?filename=php://fi
webug4.0靶场通关越权修改密码
最新发布
03-20
### 关于 Web 安全靶场 Webug 4.0 中越权修改密码的解决方案 在 Web 应用程序的安全测试中,“越权访问”是一种常见的漏洞,指的是未经授权的用户能够执行超出其权限范围的操作。对于 Webug 4.0 靶场中的越权修改密码场景,以下是详细的分析与解决方法。 #### 背景描述 在 Webug 4.0 的设计中,存在一种典型的越权行为模式:攻击者可以通过篡改 HTTP 请求参数(如 `id` 字段),从而冒充其他用户的身份并修改目标用户的密码[^4]。这种漏洞通常源于应用程序未对操作对象的有效性和当前登录用户的权限进行严格验证。 --- #### 技术原理剖析 越权漏洞的核心原因在于服务器端缺乏有效的身份校验机制。具体表现为以下几点: 1. **请求参数未经验证** 当前用户发送的请求可能携带了非法的目标用户 ID 参数(例如 `id=0` 表示管理员)。如果服务端仅依赖前端传递的数据而未进一步确认该数据的真实性,则可能导致越权。 2. **缺少细粒度授权控制** 如果应用未能区分不同角色之间的权限边界,就容易让低权限用户获得高权限功能的使用权。 3. **会话管理不当** 即使实现了基于会话的身份认证,但如果会话状态没有绑定到具体的资源访问上下文中,也可能引发类似的越权问题。 --- #### 解决方案实现 针对上述问题,可以从以下几个方面入手来修复此漏洞: ##### 1. 强化后端逻辑校验 每次接收到涉及敏感操作(如更改密码)的请求时,应强制核对该操作是否由合法主体发起。这可通过比较当前已登录账户的信息与待处理记录所属实体的一致性完成。例如,在 PHP 或 Python 后端代码中加入如下片段以确保只有本人能重置自己的密码: ```php <?php // 假设 $_SESSION['user_id'] 存储着当前登录者的唯一标识符 if ($_POST['target_user_id'] != $_SESSION['user_id']) { die('Access Denied'); // 若两者不符则拒绝继续运行后续脚本 } ?> ``` 或者采用更现代化的语言框架编写类似防护措施: ```python from flask import session, request, abort def change_password(): target_user_id = int(request.form.get('target_user_id')) current_user_id = session.get('user_id') if target_user_id != current_user_id: abort(403) # 返回HTTP Forbidden响应码表示无权访问 # 正常业务流程... ``` 以上两段伪代码均体现了只允许用户对自己账号实施特定变更的原则。 ##### 2. 实施严格的 RBAC (Role-Based Access Control) 引入基于角色的访问控制系统有助于细化各类人员所能触及的功能模块及其内部细节。通过预先定义好的策略组合判定谁可以在何时何地做什么事情,进而减少因疏忽造成的安全隐患。 例如,在 MySQL 数据库表结构层面增加字段用于标记每条记录关联的角色类别,并据此调整查询语句条件部分的内容以便筛选出符合条件的结果集之前先过滤掉不符合要求的部分。 ##### 3. 利用 CSRF Token 提升安全性 为了防止恶意站点诱导受害者提交伪造跨站请求(CSRF),建议结合随机生成且难以预测的一次性令牌(Token)一同嵌入至 HTML 表单之中并与对应 Session 绑定起来共同参与最终判断过程。这样即使黑客截获到了原始 POST 请求也无法轻易复制粘贴成功模拟真实交互动作。 --- #### 总结说明 综上所述,要彻底杜绝此类越权现象的发生除了加强开发阶段的设计考量之外还需要持续关注最新威胁情报动态及时修补发现的新缺陷。同时也要提醒广大开发者时刻牢记安全第一的理念贯穿整个软件开发生命周期始终。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值