【SQL注入-14】布尔盲注的半自动化注入案例—以sqli-labs-less8为例(利用BurpSuite工具)

已于 2022-05-12 18:28:10 修改
阅读量1.5k 收藏 8
点赞数 1
分类专栏: # 入门07 Web安全之渗透测试 文章标签: sql注入 半自动化注入
于 2022-05-12 16:17:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64378913/article/details/124620546
版权

目录


本博客内容仅供学习探讨,请勿滥用乱用

1 概述

当改变浏览器带入给后台SQL的参数后,浏览器没有显示对应内容也没有显示报错信息时,无法使用union联合查询注入与报错注入,这时候可以试试看能否使用布尔注入。

布尔盲注:一般情况下,当带入参数为真和假时,页面会有不同的反映,比如有无显示也是一种不同,布尔盲注就是根据这种不同来反推我们输入的条件是真还是假。

2 布尔盲注的半自动化注入案例

2.1 实验平台

(1)靶机:——虚拟机(IP为172.16.1.1):本节实验靶场是在win2008系统上基于phpstudy搭建的一个sqli-labs漏洞靶场,win2008及phpstudy的安装过程可以参考《【语言环境】WAMP环境部署及优化—以win2008R2SP1为操作系统》,sqli-labs漏洞靶场的搭建可以参考《【环境搭建】基于WAMP环境的sqli-labs漏洞靶场的搭建

(2)注入机:——kali虚拟机,为了方便发送Cookie,本实验利用BurpSuite来进行注入实验,BurpSuite的安装过程可以参考文章《【Burp Suite工具-1】BurpSuite简介及安装过程详解(含please supply the following JVM argument错误提示原因)》。

(3)靶机与kali虚拟机桥接到同一局域网中。

2.2 实验过程

2.2.1 注入前准备

(1)打开靶机虚拟机,并打开phpstudy,并启动。
在这里插入图片描述

(2)kali虚拟机上打开火狐浏览器,并使用火狐浏览器的访问靶机sqli-labs的Less8,打开页面如下。
在这里插入图片描述
(3)kali虚拟机,设置火狐浏览器的使用代理功能。设置步骤如下:单击浏览器右上角“菜单图标”,依次单击“Settings”→“Settings”→“设置网络代理”→“设置”→“手动配置代理”,示, 设置HTTP代理为127.0.0.1 , 端口为8080 ,与Burp Proxy 中的代理一致。

在这里插入图片描述
在这里插入图片描述
(4)kali虚拟机打开BurpSuite,进入Proxy工具,在BurpSuite工具的intercept界面开启 intercept is off.

2.2.2 判断注入点及注入类型

(1)判断页面是否回显数据库信息。在浏览器搜索栏URL后面输入参数?id=1,仅有一句you are in没有显示其他具体信息。修改为?id=2,也是同样结果。网页没有随id变化而动态显示不同的内容,所以无法使用union联合查询的注入手法。
在这里插入图片描述
在这里插入图片描述

(2)判断是否有报错提示,及注入属于数值型还是字符型

  • 1)修改参数为?id=1',程序运行出错,没有给出错误提示。<fontcolor=Blue>无法判断是数值型注入还是字符型注入,也无法使用报错注入手法。

在这里插入图片描述

  • 2)修改参数为?id=1",网页显示正常。说明双引号必定不是闭合方式
    在这里插入图片描述
  • 3)修改参数为?id=1'--+,网页显示正常。说明该注入点为字符型注入,且为单引号闭合。

在这里插入图片描述
(3)判断是否有布尔类型状态。结合上述步骤2和3,无法使用union联合查询注入和报错注入,因此需要继续判断是否有布尔类型状态。

  • 1)修改参数为?id=1' and 1=1--+,网页显示正常。

在这里插入图片描述

  • 2)修改参数为?id=1' and 1=2--+,网页显示错误。

在这里插入图片描述
说明网页有布尔类型状态。因此可考虑布尔盲注

综上所述,注入点为字符型注入,闭合方式为’,闭合采用–+,采用布尔盲注。

2.2.3 爆库名长度及库名

(1)在BurpSuite工具的intercept界面开启 intercept is on,重新加载浏览器中的的页面,让BurpSuite拦截到请求。
在这里插入图片描述
在这里插入图片描述
(2)将请求参数修改为?id=1%27%20and%20length(database())=10--+ ,然后将请求右键发送到intruder模块(入侵模块),采用该工具对布尔盲注的参数进行爆破,能较大程度降低手工爆破的工作量。注意,url参数中单引号及空格都需要为url编码格式
在这里插入图片描述
(3)在intruder模块中的Target界面,确认目标主机及目标端口号。
在这里插入图片描述
(4)切换到intruder模块的posions界面,我们将需要爆破的参数用特殊符号**$**括起来(表示该参数为变量),像此处我们需要爆破的是库名长度的数字。

在这里插入图片描述
(5)切换至intruder模块的payloads界面,为步骤2的爆破对象选择一个待选集合,此处选择1~10即可,因为我们知道一般名字不会太长,如果不行后续再扩大范围也可以。选择后我们点击右上角的start attacks。
在这里插入图片描述
(6)对爆破结果进行排序,得到以下界面。这些结果中只要一个结果为真,其他都为假,因此可以得出库名的字符长度为8。
在这里插入图片描述
(7)在浏览器中的HackBar中输入参数?id=1' and ascii(substr(database(),1,1))=100 --+
在这里插入图片描述
(8)BurpSuite拦截到请求,将请求右键发送到intruder模块(入侵模块)。
在这里插入图片描述
(9)切换到intruder模块中的posions界面,将substr()函数的第二位参数和等号后面的数字添加特殊符号$,作为爆破对象,并将 attack type 选择为 cluster bomb。
在这里插入图片描述
(10)切换到intruder模块中的payload界面,分别为两个爆破对象设置待选集合。如下所示,设置后点击start attack。
注意,为了加快爆破的速度,可在options选项中设置多线程,如将线程设置为500.
在这里插入图片描述
在这里插入图片描述

(10)对爆破结果进行排序,对ascii码进行解码后可得库名为security。

2.2.4 爆表名、字段名以及账户及密码

与爆库名同理,我们先爆表名长度。再爆表名。
与爆库名同理,我们先字段名长度。再爆字段名。
与爆库名同理,我们先账户及密码长度。再账户及密码。
sql语句的构造可以具体参考《布尔盲注案例》,而利用BurpSuite工具进行半自动化注入的步骤与上述爆库名类似。

3 总结

(1)理解布尔注入的逻辑和原理。
(2)利用BurpSuite代替人工进行试错以减少工作量。
(3)爆破时建议使用ascii值来判断以区分大小写。

参考文章

[1] 《【SQL注入14】布尔盲注的半自动化实现(基于BurpSuite工具和sqli-labs-less8靶机平台)

像风一样9
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
BurpSuite实例教程
weixin_34409703的博客
03-20 407
很久以前就看到了Burp suite这个工具了,当时感觉好NB,但全英文的用起来很是蛋疼,网上也没找到什么教程,就把这事给忘了。今天准备开始好好学习这个渗透神器,也正好给大家分享下。(注:内容大部分是百度的,我只是分享下自已的学习过程) 什么是BurpSuite Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序...
sqli-labs-基于布尔盲注
zlloveyouforever的博客
04-29 1061
sqli-labs第五关--基于布尔盲注
布尔盲注(ctfhub)
最新发布
2401_82985722的博客
03-27 702
页面没有报错回显,不知道数据库具体返回值的情况下,对数据库中的内容进行猜解,实行SQL注入。在注入语句后,盲注不是返回查询到的结果,而只是返回查询是否成功。?id=1' and 1=1--+ 真页面true?id=1' and 1=2--+ 假页面false# substr(database(),1,1):表示从数据库的第1个字母开始,显示1个字母,从1开始计数# limit 0,1:表示从第0行开始,显示1行,从0开始计数一、手动注入一般顺序:爆数据库名长度。
SQL注入14布尔盲注半自动化实现(基于BurpSuite工具sqli-labs-less8靶机平台)
Fighting_hawk的博客
02-21 3085
1. 理解布尔注入的逻辑和原理。 2. 利用BurpSuite代替人工进行试错以减少工作量。 3. 爆破时建议使用ascii值来判断以区分大小写。
SQL注入-布尔盲注实例
OneOneZzzzzz
09-19 463
SQL注入-布尔盲注实例 布尔盲注的手工成本很大,非常花费时间,建议写脚本来运行,整个过程属于猜解,判断数据库的名称长度,然后猜解第一位字符,第二位… 表名和字段和内容也都是相同的方式进行猜解,sqlmap工具盲注实际上也是这种原理,只不过它是一个现成的工具了 首先需要了解到数据库的几个函数 Length():统计字符串的长度 mid(database(),1,1)字符串截取,从第一个字符开始截取,截取一个 ord() 字符转化成十进制数 布尔注入是根据页面的正确和不正确状态来判断猜解是真是假
基于boolean盲注案例演示
weixin_43534549的博客
04-07 967
一、 打开pikachu,点击盲注(base on boolian),输入一个单引号,点提交,这时候你会发现显示结果为“您输入的username不存在,请重新输入”。 二、输入“kobe’ or 1=1#",点查询,同样也会提示“您输入的username不存在,请重新输入” 三、进一步来判断 输入"kobe’ and 1=1#",这时候发现打印出了正确的输出,即 四、若输入"kobe’ and...
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
mysql注入-sqlilabs靶场注入
10-15
sqlilabs靶场全部关卡的详细解析,pdf文档
sqlilabs,里边赠送包含了,sqlilabs过关手册-注入天书,联系sql注入的绝佳靶场
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php,Tomcat+mysql+java(部分关卡需要) Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改...
记一次Burp Suite的使用实例
庄小法的博客
08-29 764
记一次Burp Suite的使用实例 下载完的Bur是这样的,双击jar即可 最右边的键一直按,傻瓜式 先将要抓包的网页打开,此次以上传图片为例 第一步当然是先下载Burp Suite之后打开,查看设置代理地址,默认是打开的 第二步设置浏览器代理,这里以火狐为例,设置完之后打开http://bur...
sql布尔盲注-半自动注入(借用burp suite)
weixin_44914783的博客
09-13 561
一、盲注介绍 进行注入时,页面不会回显错误,只会显示正常和不正常。 二、借助的函数 length() 返回字符串长度 substr() 截取字符串 ascii() 返回字符的ascii码 count() 统计数量 三、爆库(通过webug 4.0 sql盲注介绍) 界面如下: 爆数据库长度 (1)爆数据库长度 构建注入语句:1’ and length(database())=1# 在burp进行攻击时,将1设置为变量 (2)将语句拼接到url上,使用burp拦截 (3)设置变量,选择狙击手模式
墨者学院布尔盲注(超详细手工和工具
qq_43355651的博客
09-15 3946
墨者学院的在线靶场中sql注入漏洞测试(布尔盲注),因为不管是时间盲注还是布尔盲注手工的话都需要大量的经历和时间来完成,正好自己最近在学习sql注入盲注,就决定用手工做一次盲注的测试,以便于对sql注入更深刻的理解 温馨提示:此文章基于专门实验的平台下测试,任何人不得随意测试或者注入,互联网不是法外之地,任何除学习之外的事情与作者无关。 首先我们打开墨者学院在线靶场中的sql注入漏洞测试(布尔盲注) 然后找到滚动的字段打开链接寻找注入点 通过测试 and 1=1 and 1=2 之后发现存在注
sql注入半自动化扫描工具——报错注入(分析后续补上)
18年3月萌新白帽子
06-11 616
代码展示墙:关于注释和解析以后会补上现在只是先将代码保存在这里# -*- coding: utf-8 -*-import requestsimport sysimport hashlibfrom optparse import OptionParserimport reparser=OptionParser()parser.add_option("-D", "--Database", action...
sql注入布尔注入--实验吧-认真一点啊!
qq_25987491的博客
04-24 1974
原文:https://www.jianshu.com/p/11f409992681先简单地试试,发现输入1会回显You are in,输入其他会回显You are not in,而输入1'也会回显You are not in,这说明单引号没有被吃掉,还可以使用。继续测试发现过滤了and、空格和|,or没有被过滤。构造id=1'or%0a'1或者id=1'or/**/'1,看到的回显却是You ar...
墨者学院工具布尔盲注
Zichel77的博客
06-22 342
关于布尔盲注SQLMap 盲注注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入盲注一般分为布尔盲注和基于时间的盲注和报错的盲注布尔型:页面只返回True和False两种类型页面。利用页面返回不同,逐个猜解数据 而在盲注sql查询中,服务器只会返回是,不是两种回答,因此就给我们的注入带来了麻烦. 手工盲注的工作量是普通注入的几十倍之多,一般来说我们采用自动化注入工具,如sqlmap来实现 之前尝试手工做了一下,但是完全做不下去...和之前学的..
SQL 注入布尔盲注
qq_44886111的博客
11-29 179
SQL注入布尔盲注 本人记录这些为了学习的同时,能够有很好的记录,所谓好记性不如烂笔头,同时发布出来,也是希望大家有朋友学习到这里想上网搜索一些东西,以便借用和探讨一些问题,总之,不断学习!! 自我修养:没有一个系统是安全的 理解 *布尔盲注就是:只有两种状态:ture or false,当在地址栏输入查询语句时,对应的结果只有这两种状态,也就是他没有回显位置,那么要如何去知晓它的更深的信息呢?* 盲注需要用到的函数 *length() 返回字符串长度 substr() 截取字符串 ascii()
sqlilabs第五关布尔盲注burpsuite版)
qq_62044589的博客
04-04 1172
sqlilabs第五关单引号闭合布尔盲注burpsuite
SQL注入靶场sqli-labs
12-20
sqli-labs是一个基于SQL注入的游戏教程,它可以帮助用户更好地了解SQL注入的语法和原理。要搭建sqli-labs靶场,您可以按照以下步骤进行操作: 1. 下载sqli-labs项目:您可以从GitHub上的https://github.com/Audi-1/sqli-labs下载sqli-labs项目。 2. 安装Web服务器:您需要在本地或者服务器上安装一个Web服务器,例如Apache或Nginx。 3. 将sqli-labs项目放置在Web服务器的根目录下:将下载的sqli-labs项目解压,并将解压后的文件夹放置在Web服务器的根目录下。 4. 配置数据库:sqli-labs使用MySQL数据库作为后端数据库。您需要创建一个新的数据库,并将数据库的连接信息配置到sqli-labs项目的配置文件中。 5. 导入数据库表结构:在MySQL数据库中,导入sqli-labs项目提供的SQL文件,以创建所需的表结构和数据。 6. 启动Web服务器:启动您的Web服务器,并确保sqli-labs项目可以通过浏览器访问。 7. 访问sqli-labs靶场:在浏览器中输入您的Web服务器地址,加上sqli-labs项目的路径,即可访问sqli-labs靶场。 请注意,搭建sqli-labs靶场需要一定的技术基础和安全意识。在进行任何实验之前,请确保您已经了解了SQL注入的风险,并采取适当的安全措施,以避免对系统造成损害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值