Pikachu-Sql-Inject -基于boolian的盲注

基于boolean的盲注:

1、没有报错信息显示;

2、不管是正确的输入,还是错误的输入,都只显示两种情况,true or false;

3、在正确的输入下,输入and 1= 1/and 1= 2发现可以判断;

布尔盲注常用函数

length(str):返回str字符串的长度。

substr(str, pos, len):将str从pos位置开始截取len长度的字符进行返回。注意这里的pos位置是从1开始的,不是数组的0开始

mid(str,pos,len):跟上面的一样,截取字符串

ascii(str):返回字符串str的最左面字符的ASCII代码值。

ord(str):同上,返回ascii码

if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0

布尔型盲注入用到得SQL 语句select if(1=1,1,0) if()函数在mysql 是判断,第一个参数表达式,如果条件成立,会显示1,否则显示0。1=1 表达式可以换成构造的SQL 攻击语句。

一、判断数据库名的长度:

从前面已经知道有个用户 为 vince ,如果长度判断正确,回返回vince 这个用户,错误则显示不存在;

通过payload ,从1、2、3...... 判断数据库名长度;

复制代码
vince' and length(database())=1#

发送到 intruder 做爆破,以长度的值为参数;

经过url编码,

爆破得到 当长度为7 时,返回 vince 这个用户;

所以数据库长度为7;

二、获取数据库名的每一位的字母

得知长度为7 后,去爆破数据库名;

查询数据库名称:

数据库名称由数字、字母组合;

0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz

构造payload,先查询第一个字母:

复制代码
vince' and if(substring(database(),1,1)='a',1,0)#
//在intruder中,第一个数字1 为长度参数, 'a' 为第二个参数

发送到 intruder 做爆破;

如红框显示 , 字母a为第一个参数, 数据库长度为第二个参数;

爆破后的结果根据长度显示,payload1 的数字就是对应字母所在的位置;

得到数据库名称为 pikachu ;

三、根据库名,获取表名由于一个库有多张表 ,表的长度

构造payload,这条语句的意思时查 第一张表的第一个字字母 是否为 a ;

第一个 1 ,代表查第一张表,第二个1,1 代表查第一个字母;

复制代码
vince'and if(substring((select TABLE_NAME from information_schema.TABLES where
TABLE_SCHEMA=database() limit 1),1,1)='a',1,0)#

爆破参数如图:

得到结果如下:

payload1 为字母所在位置序号, 得出第一张表名为 httpinfo ;

以次类推,可以继续爆破后续的表,后续的字段;

相关推荐
我会尽全力 乐观而坚强几秒前
MySQL库与表的操作
linux·数据库·mysql
lilihuigz12 分钟前
产品附加选项插件WooCommerce Product Add-Ons:9种字段类型与3种定价模式提升销售 - 易服客工作室
数据库·mysql·wordpress插件·woocommerce扩展·定制选项
360智汇云1 小时前
Valkey 9.1上线:从Redis兼容到AI数据能力探索
数据库
标致的自行车1 小时前
Entity Framework之问题收集
jvm·数据库·oracle
啵啵鱼爱吃小猫咪1 小时前
Franka机械臂安装实时内核
数据库·postgresql
今天也是元气满满的一天呢2 小时前
从单机架构到负载均衡的互联网架构全流程
数据库·系统架构
SelectDB2 小时前
快手 AB 场景提速 145 倍,从 Spark 到 Apache Doris 的加速实践
数据库·spark·开源
SelectDB2 小时前
阶跃星辰 Agent 可观测实践:为什么 Trace 数据底座选择 SelectDB?
大数据·数据库·agent
冷静的楼房2 小时前
使用ThreadPool发起同步的调用
数据库
一个天蝎座 白勺 程序猿2 小时前
自动SQL优化实战|吃透调优接口+报告配置+统计+索引全流程落地
数据库·sql·sql优化