不再显示错误的盲注(布尔盲注和时间盲注)

最新推荐文章于 2024-01-31 18:28:10 发布
最新推荐文章于 2024-01-31 18:28:10 发布
阅读量207 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44111753/article/details/109635771
版权

Blind SQL (盲注) : 是注入攻击的其中一种, 向数据库发送 true 或 false 这样的问题,
并根据应用程序返回的信息判断结果. 这种攻击的出现是因为应用程序配置为只显示常规错误, 但并没有解决SQL 注入存在的代码问题.

1、发现盲注
在这里插入图片描述
在这里插入图片描述
正常输入和错误输入的结果是不一样的,但不会显示报错
2、基于时间的盲注

id=1' and if(ascii(substr(database(),1,1))=115,sleep(3),0) --+

if(expr1,expr2,expr3)若表达式1计算结果为true,则执行表达式2,否则执行表达式3
substr取数据库名的第一个字符且偏移一位(包括本身),即若第一个字符的ascii为115,则执行sleep(3)
在这里插入图片描述
在这里插入图片描述
3、基于Boolean的盲注
常用的表达式

length(database())=n
ascii(substr(database(),1,1)) >/</= n

在这里插入图片描述
在这里插入图片描述
sqlmap --technique

B: Boolean-based blind SQL injection(布尔型注入)
E: Error-based SQL injection(报错型注入)
U: UNION query SQL injection(可联合查询注入)
S: Stacked queries SQL injection(可多语句查询注入)
T: Time-based blind SQL injection(基于时间延迟注入)

行于其野
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入之基于布尔盲注详解
09-10
首先说明的盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。盲注一般分为布尔盲注和基于时间盲注。这篇文章主要讲解的是基于布尔盲注。下面来一起看看吧。
布尔盲注怎么用,一看你就明白了。布尔盲注原理+步骤+实战教程
热门推荐
wangyuxiang946的博客
03-16 2万+
写给每一个为了让自己变得更好,而坚持努力的你。
sql注入-布尔盲注_时间盲注
m0_62008601的博客
04-02 2953
sql注入之布尔时间盲注
sql注入,布尔盲注时间盲注,无回显
最新发布
weixin_71008408的博客
01-31 447
这行代码的意思是 截取数据库中第一个字段的长度,并转换为asc码与100比较,我们知道我们数据库名 security ,第一个是s,通过asc码转换值应为115,所以符合,大家可以更改比较数值,去尝试查看超过115,会不会错误显示。通过order by分组可以看到,如果正确会i显示you are in,错误则无任何提示,由此可以判断出,目前只显示对错,此外前端不会显示任何数据。但是数据库名,表名,列名每个至少有6,7个字母,挨个猜效率肯定很低,所以python启动!
写一个布尔盲注的脚本
weixin_35752645的博客
01-01 458
布尔盲注是一种数据库攻击技术,其目的是通过查询数据库并猜测结果来确定特定信息。布尔盲注的基本原理是,通过提交查询并猜测其真假,从而获取有关数据库中存储的信息的提示。 如果要写一个布尔盲注脚本,你需要以下步骤: 建立与数据库的连接。 编写 SQL 语句,并将其提交给数据库。 处理数据库的响应。如果响应为真,则可以推断出查询的条件是真的;如果响应为假,则可以推断出查询的条件是假的。 根据获得的信息,...
JAVA代码审计篇-SQL注入
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-01 690
1、SQL注入攻击是黑客利用SQL注入漏洞对数据库进行攻击的常用手段之一。攻击者通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中,网站应用程序未经过滤,便将恶意SQL语句带入数据库执行。2、SQL注入漏洞可能会造成服务器的数据库信息泄露、数据被窃取、网页被篡改,甚至可能会造成网站被挂马、服务器被远程控制、被安装后门等。3、SQL注入的分类较多,一般可笼统地分为数字型注入与字符串型注入两类;当然,也可以更加详细地分为联合查找型注入、报错注入、时间盲注布尔盲注等。
布尔盲注
weixin_43271438的博客
10-03 3974
布尔盲注一般是在网页没有报错,回显的时候使用。只能对url输入的判断一个对错,一般一次只能判断一个英文字符 基于布尔盲注(Boolean-based blind SQL injection),即可以根据返回页面判断条件真假的注入。比如对参数加一个’ and ‘1’=‘1和’ and ‘1’='2,如果第一个能查询出来,第二个不行,则说明可以注入,后面可以根据字段and exist(…)不断猜测...
布尔盲注python脚本.zip
12-28
GET和POST型python脚本
布尔盲注.py_sql盲注python_
10-03
一个简单的sql注入盲注的python脚本,其中语句需要根据环境条件做改变
布尔盲注python3范本模板
01-16
布尔盲注python3范本模板
mysql-blind(高级盲注+基于布尔).docx
01-23
主要有三种,基于时间,布尔,错误[实际遇到的非常少]的盲注,不过我们今天暂时只针对布尔盲注做详细说明,关于其它的技巧,后续还会再单独说明,其实,也算不上什么很高级的技巧,都是一些很基础的堆砌,废话不多说,最好的...
SQL注入进阶:掌握布尔盲注和延时注入攻击技巧
weixin_43263566的博客
01-21 3538
SQL注入篇 - 布尔盲注及延时注入
09、注入篇--盲注布尔盲注
WX公众号-小白学安全
04-05 626
文章目录原理利用防范靶场 原理 利用 防范 靶场
CTFHub(布尔盲注 判断是否,无回显)
sGanYu
08-06 1929
盲注主要分为两种,一种为时间类型盲注,一种为布尔类型盲注 判断是否是布尔类型的:当一个界面存在注入,但是没有显示位,没有SQL语句执行错误信息,由于布尔类型的注入只会告知是或者不是,所以只能通过页面返回的对与错来进行一个SQL的注入 【 column_name:列的名称 Information_schema.columns:表示所有的列的信息 Information_schema:表示所有信息,包括库、表、列 Information_schema.tables:表示所有的表的信息 tabl
SQL注入之布尔盲注
DM766924的博客
09-13 1519
什么是布尔判断SQL注入? “布尔判断”指的是利用SQL语句**逻辑与(and)**操作,判断and两边的条件是否成立,SQL语句带入输入库查询后判断返回内容(通常返回值仅有非空和空两种状态),类似布尔型的true和false的两种状态。 布尔盲注步骤: 第1步:确认注入点 方法:通过增加 ’ 和增加--+注释符,语句从执行失败变为执行成功判断注入点 第2步:判断数据库版本 方法:主要因为5.0版本以下没有information_schema数据库,无法进行手动注入; 由于无法回显数据,利用逻辑
SQL注入漏洞(union + 盲注
m0_61506558的博客
09-16 1522
数据库漏洞一直处于OWASP前几名,虽然在2021年滑到第三,漏洞的危害是不言而喻的,数据库可以分为两种:关系型数据库:关系型数据库,存储的格式可以直观地反映实体间的关系。关系型数据库和常见的表格比较相似, 关系型数据库中表与表之间是有很多复杂的关联关系的。常见的关系型数据库有 MySQL,Oracle, PostgreSQL,SQL Server等。
渗透学习日记day13(补布尔盲注)
qq_44836237的博客
12-08 2221
secure-file-priv参数 首先在mysql中使用 show variables like '%secure_file_priv%'; show globalvariables like '%secure_file_priv%'; 如果显示为NULL 在mysql.ini的配置文件中加入 secure_file_priv= 现在即可使用file_load读取文件,如果secure_file-priv=NULL则读取内容为空 注意如果在se...
SQL注入漏洞详解
无言道的博客
03-13 1万+
文章目录SQL注入漏洞原理SQL注入内容注入条件判断注入SQL注释符与注入流程 SQL注入漏洞原理 漏洞原理   web页面源代码对用户提交的参数没有做出任何过滤限制,直接扔到SQL语句中去执行,导致特殊字符改变了SQL语句原来的功能和逻辑。黑客利用此漏洞执行恶意的SQL语句,如查询数据、下载数据,写webshell、执行系统命令以此来绕过登录权限限制等。 检测方法   可以利用sqlmap进行SQL注入的检查或利用,也可以使用其他SQL注入工具。也可以手工测,利用单引号、and 1=1以及字符型
联合注入,布尔盲注时间盲注,报错注入
02-21
答:联合注入是指使用多个表达式来测试数据库的安全性...布尔盲注是指不使用查询结果反馈来测试数据库安全性;时间盲注是指使用额外的时间延迟来测试数据库安全性;报错注入是指使用数据库错误消息来测试数据库安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值