SQL注入之布尔盲注

最新推荐文章于 2024-06-12 08:30:00 发布
最新推荐文章于 2024-06-12 08:30:00 发布
阅读量5.7k 收藏 31
点赞数 9
分类专栏: web渗透学习笔记 文章标签: SQL注入 盲注 自动化盲注 布尔注入 盲注原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35569814/article/details/100175886
版权

布尔盲注简介

简介及使用场景:

在刚开始接触一个概念时,我们很容易顾名思义,所以在学习盲注之前的一段时间,着实不清楚盲注到底是什么。

我的理解中盲注的本质就是,在页面无法给我提供回显的时候的一中继续注入的手段。那什么是布尔型盲注呢?在我们输入and 1或者and 0,浏览器返回给我们两个不同的页面,而我们就可以根据返回的页面来判断正确的数据信息。

相关函数

length()函数:

length()函数的作用是返回字符串str的长度,以字节为单位。一个多字节字符算作多字节。这意味着,对于包含四个两字节字符的字符串,length() 返回8,  而 char_length() 返回 4

实例:select length('text'),如下图

substr()函数:

substr()函数从特定位置开始的字符串返回一个给定长度的子字符串

substr()函数有三个参数,用法为:substr(str,pos,len)

str参数代表待截取的字符串

pos参数代表从什么位置开始截取

len参数表示字符串截取的长度

实例:select substr('hello',1,1),如下图

其他与substr()函数作用相似的函数有mid()和substring()函数,其用法和substr()函数一致

实例:select substring('hello',1,1)select mid('hello',1,1),则都返回“h”

ascii()函数:

 ascii()函数可以输出某个字符的ascii码值,ascii码共127个,此处注意ascii函数处理单个字符,如果是字符串则会处理第一个字符

实例:select ascii('h'),如下图

注入实现

布尔盲注用到的函数length()、substr()和ascii()函数。

这里直接用数据库阐述原理,在实际中,如下面的例子注入点为id=1,我们已经无法使用union来直接查询,此处我们需要用到关键字and,我们知道只有and前后的条件都为真的时候,数据库才会输出结果。

判断数据库名的长度:

 首先我们来判断一下数据库的是几个字符,用到length()函数,此处选取的数据库名称为test,如下图所示当判断条件为大于4时,输出为Empty,当判断条件等于四时,输出了我们查询的数据,所以数据库名的字符个数为4。

实例:select user from test where id=1 and length((select database()))=4,其中(select database())为子查询,需要加括号,如下图

猜解数据库名:

我们已经知道了数据库名是四个字符,接下来我们可以使用substr()函数对数据库名的字符一个个截取。在通过ascii()函数判断字符的ascii码值,第一个字符的ascii码值为116,第二个为101,同养的步骤,第三个为115,第四个为116,然后和ascii码表比对,发现数据库名为test

实例:select user from test where id=1 and ascii(substr((select database()),1,1))=116,如下图

猜解表名:

表名我们可以根据系统自带库information_schema进行查询,同理需要用到子查询,此处用到group_concat()函数拼接字符串,在这里可以把查到的数据表名通过逗号拼接起来,先猜解一下拼接的字符串长度,我们在把字符串一个个截取,最后得到一个数据表为test

实例: select user from test where id=1 and length(select group_concat(table_name) from information_schema.tables where table_schema=database())=4,如下图

猜解字段:

字段的猜解,我们也需要用到系统自带库的columns表,用到的函数和猜解数据库名一致,分别是:length()、substr()、ascii()函数,最后得出有三个字段分别为:id、user和pw

实例:select user from test where id=1 and length((select group_concat(column_name) from information_schema.columns where table_name='test' and table_schema=database()))=10,如下图

猜解数据:

表中数据的猜解,与上述方法类似,此处不再赘述

自动化工具

1、sqlmap注入工具

可以直接使用自动化工具进行注入,可以直接简单点,语句大概是 

sqlmap -u http://xxx.xxx.xx.xx/xx.php?id=xx

复杂一点的语句可以尝试如下,random随机给一个请求头,delay多少秒尝试一次,也可以使用--safe-freq(后面跟一个数字,代表每隔几次访问一次正常链接)和thread(线程),technique可选择注入类型,dbms选择数据库,如果有防火墙可以跟上 --tamper

sqlmap -u http://xxx.xxx.xx.xx/xx.php?id=xx --random-agent --delay 3 --thread=3 --technique=B --dbms=mysql

2、Burp中的爆破模块

直接抓取输入,and ascii(substr(database(),1,1))=1的数据包,放到爆破模块

然后进行如下设置

点击有上角start attact,开始爆破,得到结果如下

暂时写这些吧

扩展

如果有时候,过滤了and 1=1,但是and 1或者and 0可以得到想要的页面,可以尝试 and 1-1方式进行盲注

如果都没办法,传参id如果是where后面的条件,可以直接使用id=3-1方式进行盲注,如下图

扩展

二进制右位移盲注:https://www.cnblogs.com/iamstudy/articles/8bits_sql.html

秋水sir
关注
  • 9
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全:SQL注入布尔原理+步骤+实战操作
wangyuxiang946的博客
05-13 2286
这篇文章为大家解析布尔实现原理,结合实战案例讲解布尔使用步骤
SQL注入之基于布尔详解
09-10
布尔SQL注入是一种特殊的SQL注入方式,它发生在服务器对用户输入的数据进行响应时,并不会返回完整的数据库信息,而是仅返回“真”(True)或“假”(False)的反馈。这种方式使得攻击者需要根据系统对正确或错误...
sql注入布尔
ljj20020718的博客
11-25 372
sql注入布尔
sql注入-布尔
WolvenSec的博客
06-02 1241
布尔(Boolean Blind SQL Injection)是一种SQL注入攻击技术,用于在无法直接获得查询结果的情况下推断数据库信息;它通过发送不同的SQL查询来观察应用程序的响应,进而判断查询的真假,并逐步推断出有用的信息。接着我们以DVWA靶场中的为例子进行解释;可以看到该靶场只能显示数据库中是否存在该ID,并不会显示其他数据,那么此时我们就无法直接获得查询结果的情况下推断数据库信息,因此联合查询已经无法满足要求,那么我们就可以使用布尔或其他的注入思想突破。
SQL注入布尔完整解析
qq_28092985的博客
11-06 2099
这里写自定义目录标题注入原理实战利用函数解释sqli-labs-Less5初级使用(length + ascii + substr)进阶使用(length + ascii + substr + limit)总结 注入原理 布尔注入时无回显的情况下适用,原理是应用系统在根据where+and语句进行查询时进行布尔判断即结果真或假,例如select * from admin where id=1 and 1=1,一般查询中应用系统仅接受 id变量值去拼接sql语句进行查询,但使用过union联合查询的小伙
SQL注入——布尔
TGFXK的博客
03-21 278
原理:前面几关都有数据回显,而在有的界面不会回显数据,只会显示对错,此时查库名等就比较难查,只能根据猜对错来判断。
渗透测试-SQL注入布尔和时间
lza20001103的博客
04-20 2841
渗透测试-SQL注入布尔和时间
SQL 注入布尔
qq_44886111的博客
11-29 186
SQL注入布尔 本人记录这些为了学习的同时,能够有很好的记录,所谓好记性不如烂笔头,同时发布出来,也是希望大家有朋友学习到这里想上网搜索一些东西,以便借用和探讨一些问题,总之,不断学习!! 自我修养:没有一个系统是安全的 理解 *布尔就是:只有两种状态:ture or false,当在地址栏输入查询语句时,对应的结果只有这两种状态,也就是他没有回显位置,那么要如何去知晓它的更深的信息呢?* 需要用到的函数 *length() 返回字符串长度 substr() 截取字符串 ascii()
SQL注入-布尔
weixin_45095113的博客
03-12 712
布尔
CTFHUB-SQL注入-布尔
weixin_68416970的博客
06-12 639
布尔是一种在SQL注入中使用的技巧,主要用于在没有明显错误信息返回的情况下,通过构造特殊的SQL语句来推测数据库信息。由于某些安全措施的存在,使得传统的SQL注入手法无法获得直接的错误信息,此时就需要使用布尔来间接获取信息。这种方法主要依赖于SQL语句的布尔运算结果,通过观察页面的响应来判断所构建的SQL语句是否执行成功,从而逐步揭示数据库的结构信息。
布尔.py_sqlpython_
10-03
布尔(Boolean-Based Blind Injection)是SQL注入攻击的一种类型,攻击者通过发送精心构造的查询,观察系统响应是否变化来判断数据库中的信息。在这个场景中,我们关的是一个名为"布尔.py"的Python脚本,...
超级SQL注入工具,支持布尔,报错,union注入
03-27
超级SQL注入工具目前支持Bool型、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,...
布尔python3范本模板
01-16
布尔python3范本模板
布尔python脚本.zip
12-28
布尔(Boolean-Based Blind Injection)是一种常见的SQL注入攻击方式,它主要针对那些不返回完整查询结果或不显示任何错误信息的Web应用程序。在这种类型的注入中,攻击者通过观察服务器响应时间或状态来判断SQL...
SQL注入之延时注入
热门推荐
秋水的博客
09-01 2万+
延时注入简介 个人理解: 延时注入又称时间,也是的一种。通过构造延时注入语句后,浏览器页面的响应时间来判断正确的数据/ 应用场景: 延时注入的应用场景是,在我们输入and 1或者and 0的时候,页面的返回无变化,这个时候可以通过and sleep(5)来判断一下页面的响应时间,相应时间在五秒多一点的话,说明此处可以使用延时注入 相关函数 延时注入会用到布尔的所有...
不安全的http方法
秋水的博客
09-06 1万+
本章节所需工具burp和curl curl下载地址:https://curl.haxx.se/download.html 漏洞简介 什么是http方法? 根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。 HTTP1.0定义了三种请求方法: GET、POST、HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNEC...
重放攻击
秋水的博客
09-06 1万+
什么是重放攻击? 重放攻击,web漏洞中称会话重放漏洞,又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器 主机A要给主机B发送报文,中间重放攻击的主人可以是A,或者是攻击者C ...
sql注入布尔流程
最新发布
06-28
SQL注入布尔是一种利用SQL注入技术来检测查询结果是否满足某个条件的攻击方法,它通常在应用程序中用于验证用户输入时使用。以下是SQL注入布尔的基本流程: 1. **识别可注入点**:攻击者首先尝试找出页面上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值