sql注入靶场案例报错型盲注-不回显报错

最新推荐文章于 2024-05-14 11:02:08 发布
最新推荐文章于 2024-05-14 11:02:08 发布
阅读量1 收藏 19
点赞数 29
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50822277/article/details/138412580
版权

不知道各位有没有遇到过这样的功能,一个请求发送了好几个参数,但是不管你如何修改参数的值,他返回的都是一样的结果,而不会返回你构造的比如union的查询结果,这种时候该怎么办呢?
我们可以想办法让它的SQL语句报错,看看响应会不会有差异,但是只是这样似乎不能证明这里执行了你的 payload 啊,比如一个要求是整形的参数,你改了一个字符串 ‘x’,这它报错不是应该的吗。

所以我们需要让它是在语法正确的情况下报错,比如满足 1=1 的时候报错,不满足的时候不报错,这就需要用到我们下面的这个函数了
case when (1=1) then 1/0 else 'q' end
它的意思是:当 1=1 的时候计算 1/0 是多少,否则输出 ‘q’,由于 1/0 会导致数据库报错 ‘divide-by-zero’

对于 MySQL 5.7.8 之后的版本,可能不会报错,而是返回一个 NULL,具体取决于数据库的配置情况

那么当1=1的时候服务器响应报错,1=2的时候他又不报错了,是不是就说明服务器执行了我们的SQL语句,这个漏洞也就被发现啦!

开始

此靶场包含一个SQL盲注入漏洞。该应用程序使用跟踪cookie进行分析,并执行包含提交cookie值的SQL查询。
SQL查询的结果不会返回,应用程序也不会根据查询是否返回任何行而做出任何不同的响应。如果SQL查询导致错误,则应用程序将返回自定义错误消息。
该数据库包含一个名为users的不同表,其中的列名为username和password。您需要利用盲SQL注入漏洞来查找 administrator 用户的密码。
以 administrator 用户身份登录则通关。

注入点还是在 cookie 上,我们发现一个单引号报错 Internal Server Error 两个单引号正常返回信息,那说明这里是存在注入点的

联合注入失败

那我们先来测试一下联合注入的效果怎么样,这里由于已经给出了存放用户名密码的表明和列名,我们直接使用下面的 payload ' order by 1 --+ 测出只有一列返回值,但是在使用 ' union select null --+ 时系统报错了,虽然不太清楚后台是把 union select 加了黑名单还是怎么回事,但是联合查询肯定是没戏了

布尔盲注失败

那联合查询不行,布尔盲注呢,我们来试一下,可以看到 1=1 和 1=2 返回的数据长度都是一样的(5264),那么就无法根据响应的差异来判断条件是否成立,来盲注出账号密码了

报错型注入

我们在第一步已经通过单引号造成了它的语法报错从而导致服务器响应500,那么我们下一步就是要构造出一个正确的语法,来让我们可以有条件的重现报错,来遍历出它的 administrator 密码

首先我们来给它原有的查询语句的 where 条件拼接一个空字符,这样理论上讲是不会造成语法错误的,而且查询的结果也不会改变,返回的应该是和未修改时一样的数据,这里我们使用'||(select '')||'进行测试

拼接后的语句可能是
select … from … where trackingId=‘glF5yaHU2Lm8ftmV’||(SELECT ‘’)||‘’
这个语句相当于 select … from … where trackingId=‘glF5yaHU2Lm8ftmV’

在这里插入图片描述
我们可以看到,它还是报错了,这是因为有的数据库在使用 select 的时候必须指明要查询的表,比如 Oracle 数据库,所以我们来修改一下payload '||(select '' from dual)||'
在这里插入图片描述
从上面可以确认这是一个 Oracle 数据库,那接下来我们就输入一个不存在的表,看看会不会报错

从上一步我们可以发现,在语法正确的时候,也是可以让服务报错的,那下面就看看有没有 users 这个表,这里有一个需要注意的点,在使用 子查询 时,其返回的结果必须只有一行,也就是说需要限定条件,payload '||(select '' from users where rownum = 1)||'

【补充】对于 Oracle 数据库,我们可以使用它的 ROWNUM 伪列来实现,你可以把他理解成一个 mysql 的id,但是它和id还不一样,Mysql的id是固定对应一条数据的,而 ROWNUM 是针对当前查询结果动态生成的,也就是说同一个 RUWNUM=1 是每次查询结果排序后的第1行数据,但这个数据并不一定处于数据库的第1行

在这里插入图片描述
所以可以肯定是存在 users 这个表的,那下一步就是试一下我们的 case when 语句能不能用,然后就爆破密码了,payload '||(select case when (1=1) then to_char(1/0) else '' end from dual)||'

然后就是判断 administrator 这个用户是否存在, payload '||(select case when (1=2) then to_char(1/0) else '' end from users where username = 'administrator')||'

存在 administrator 那么我们看看他是多少位的,这里我们直接用 Intruder 去跑,payload '||(select case when (length(password) = 1) then to_char(1/0) else '' end from users where username = 'administrator')||',这样的话哪个报错,就是几位
在这里插入图片描述
上一步既然爆破出了位数,那么下一步就是爆破密码了,让我们丰富一下 payload '||(select case when substr(password,1,1)='1' then to_char(1/0) else '' end from users where username = 'administrator')||'

等待爆破结束,密码也就出来了 (4c3ahujk9laxc1sknpi0),登录过关

晚来的棠棠
关注
  • 29
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
解决element ui select下拉框不回显数据问题的解决
10-17
主要介绍了解决element ui select下拉框不回显数据问题的解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SQL注入-05】布尔盲注案例
m0_64378913的博客
04-26 1676
目录1 概述2 操作环境3 操作具体步骤3.1 判断是否存在注入点及注入的类3.2 测试数据库库名长度3.3 逐个测试数据库库名的字符3.4 测试该数据库中所有表名3.5 测试users表中的所有字段名3.6 测试敏感字段的字段内容4 总结参考文章 1 概述 当改变浏览器传给后台SQL的参数后,浏览器没有显示对应内容也没有显示报错信息时,无法使用union联合查询注入与报错注入,这时候可以试试看能否使用布尔注入。具体参考《【SQL注入-02】SQL注入点的简单判断》。 布尔盲注:一般情况下,当带入参数为真
13-sql注入查询方式及报错盲注
qq_56414082的博客
03-29 534
当进行SQL注入时,有很多注入会出现无回显的情况,其中不回显的原因可能是SQL语句查询方式的问题导致,这个时候我们需要用到相关的报错盲注进行后续操作,同时作为手工注入时,提前了解或预知其SQL语句大概写法也能更好的选择对应的注入语句。Access暴力猜解不出的问题?
SQL注入-04】报错注入案例
m0_64378913的博客
04-26 1446
目录1 报错注入概述2 常用的报错注入命令2.2 group by重复键冲突(count()+floor()+rand()+group by组合)2.2.1 group by重复键冲突的原理及bug演示2.2.2 补充:sql语句解析过程2.3 XPATH报错2.3.1 extractvalue()函数2.3.2 updatexml()函数2.4 测试失败的命令3 报错注入案例3.1 操作环境3.2 获取敏感信息3.2.1 获取数据库名3.2.2 获取表名3.2.3 获取字段名3.2.4 获取字段内
SQL注入03】报错注入实例操作
Fighting_hawk的博客
02-18 3483
1. SQL注入优先级:union注入>报错注入>布尔盲注>延迟注入; 2. 了解报错注入常用的几个命令; 3. 掌握使用updataxml()函数进行报错注入; 4. updataxml()对仅能获取返回32位字符,对于长字符串需要分批次获取。...
基于错误回显SQL注入整理
12-14
 用我自己的话来讲,基于错误回显sql注入是通过sql语句的矛盾性来使数据被回显到页面上(当然在实际应用中得能回显在页面上,一般的网站都回避免这种情况,哈哈,要是能碰上你偷着乐吧)。  0x01 用于错误...
详解element-ui级联菜单(城市三级联动菜单)和回显问题
10-16
主要介绍了详解element-ui级联菜单(城市三级联动菜单)和回显问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
form-generator 表单设计
11-10
Element UI表单设计,将生成的代码直接运行在基于Element的vue项目中,也可导出JSON表单,使用配套的解析器将JSON解析成真实的表单。 npm i [email protected] npm install [email protected] --save ...
uni-app 富文本编辑 回显富文本和修改富文本!
11-21
uni-app 富文本编辑 回显富文本和修改富文本!uni-app 富文本编辑 回显富文本和修改富文本!uni-app 富文本编辑 回显富文本和修改富文本!uni-app 富文本编辑 回显富文本和修改富文本!uni-app 富文本编辑 回显富...
pgbackrest 备份工具使用 postgresql
liyayou的博客
05-10 670
我们的备份策略基本是,1天1次完整备份,1个小时1次差异备份。注意:命令中postgres:postgres,是为了授权给postgres用户权限,而且最好是用postgres用户,不然会遇到很多操作报无权限【因为postgresql在安装初始化的时候就自动创建了一个系统用户postgres,默认使用的也是postgres】#加上 --delta ,pgBackRest 自动确定数据库集群目录中的哪些文件可以保留,哪些文件需要从备份中恢复 — 它还会删除备份清单中不存在的文件,以便处理不同的更改。
openGauss学习笔记-279 openGauss性能调优-实际调优案例08-改写SQL消除in-clause
超哥的博客
05-10 72
openGauss学习笔记-279 openGauss性能调优-实际调优案例08-改写SQL消除in-clause279.1 现象描述279.2 优化说明 openGauss学习笔记-279 open
Oracle数据库之PL/SQL基本语法(八)
最新发布
pursue_mony的博客
05-14 110
PL/SQL 是 Oracle 数据库中使用的过程化 SQL 语言扩展,它允许你在 SQL 语句中嵌入控制结构、变量声明、异常处理等。用于在 PL/SQL 块中输出调试信息。为了看到这些信息,你需要在 SQL*Plus 或其他客户端中启用它(例如,使用。PL/SQL 代码通常被组织在块(block)中。一个块包含三个部分:声明部分、执行部分和异常处理部分。包是 PL/SQL 中一种将逻辑、变量、常量、游标、类、子程序、异常等组合在一起的数据库对象。在 PL/SQL 中,你可以在。部分来处理运行时错误。
Python框架篇(9):FastApi-SQLAlchemy集成
weixin_39001207的博客
05-10 897
框架将数据库中的表(表结构)映射为面向对象的类(对象),将表中的记录(行)映射为类的实例(对象的实例),将表中的字段(列)映射为类的属性(对象的属性)。框架提供了自动化的数据库映射和对象关系管理,减少了开发人员对数据库操作的工作量,提高了开发效率。框架通常具有良好的跨数据库兼容性,可以轻松地切换不同的数据库,而不必修改大量的代码。框架,可以直接使用面向对象的方式来进行数据库操作,比如增删改查等,而不必编写复杂的。@注意: 此处为了节省篇幅,忽略注册控制到框架的代码,具体使用可参考之前的代码。
远程服务器监控工具Navicat Monitor全新发布v3.0 - 支持PostgreSQL用户
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
05-11 320
远程服务器监控工具Navicat Monitor全新发布v3.0,新版本优化慢查询来提高性能、支持PostgreSQL用户等,欢迎下载最新版组件体验!
SQL Server服务启动缓慢或崩溃问题分析
winrich的博客
05-13 579
本文详细介绍了SQL Server服务启动缓慢、无法响应以及服务崩溃或重启等常见高发故障的解决方法。针对磁盘I/O瓶颈、内存不足、日志文件过大、软件冲突、数据库损坏和配置错误等潜在风险,提供了实用的处理建议,包括检查与升级磁盘性能、增加内存容量、定期清理和管理日志文件、检查与卸载冲突软件、数据备份与修复,以及审查和调整配置等。通过实施这些解决方案,可以有效提升SQL Server的稳定性和性能,确保业务的连续性。
ubuntu postgresql 安装
xie__jin__cheng的博客
05-10 405
添加新用户使用createuser命令来添加新的PostgreSQL用户。在提示时,输入新用户的密码。2.创建新数据库在psql命令行中,你可以使用SQL命令来创建新数据库。退出psql命令行输入\q并回车来退出psql命令行。
SQL的心得
weixin_64842400的博客
05-11 529
接着,系统按照 GROUP BY 子句中的指定字段分组,并对每个分组进行计算,生成虚拟的分组结果表。执行顺序 :from > on > where > group by > having > select > distinct > order by > top。4、聚合函数本质:对指定的列进行聚合,如果我们用了group by,我们可以对每个分组应用内聚合函数。在分组内部,聚合函数会自动处理所有重复的行。具体来说,在执行 SELECT 子句时,系统先计算 SELECT 中的列表达式和函数等,然后。
NIUKE SQL:进阶挑战 (上)
He_jinian的博客
05-10 1081
牛客SQL—进阶01-02 增删改操作+表与索引操作
python&sql-随机问答小程序
记录学习路上的一些拙见
05-10 259
python&sql-随机问答小程序
el-cascader回显不了
09-01
对于el-cascader回显的问题,可能有几个原因导致无法显示。 首先,请确保您已正确引入了element-ui的el-cascader组件,并且在Vue组件中正确地注册了el-cascader。 其次,确保您传递给el-cascader的数据格式正确。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晚来的棠棠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值