Pikachu-Sql-Inject -基于boolian的盲注

基于boolean的盲注:

1、没有报错信息显示;

2、不管是正确的输入,还是错误的输入,都只显示两种情况,true or false;

3、在正确的输入下,输入and 1= 1/and 1= 2发现可以判断;

布尔盲注常用函数

length(str):返回str字符串的长度。

substr(str, pos, len):将str从pos位置开始截取len长度的字符进行返回。注意这里的pos位置是从1开始的,不是数组的0开始

mid(str,pos,len):跟上面的一样,截取字符串

ascii(str):返回字符串str的最左面字符的ASCII代码值。

ord(str):同上,返回ascii码

if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0

布尔型盲注入用到得SQL 语句select if(1=1,1,0) if()函数在mysql 是判断,第一个参数表达式,如果条件成立,会显示1,否则显示0。1=1 表达式可以换成构造的SQL 攻击语句。

一、判断数据库名的长度:

从前面已经知道有个用户 为 vince ,如果长度判断正确,回返回vince 这个用户,错误则显示不存在;

通过payload ,从1、2、3...... 判断数据库名长度;

复制代码
vince' and length(database())=1#

发送到 intruder 做爆破,以长度的值为参数;

经过url编码,

爆破得到 当长度为7 时,返回 vince 这个用户;

所以数据库长度为7;

二、获取数据库名的每一位的字母

得知长度为7 后,去爆破数据库名;

查询数据库名称:

数据库名称由数字、字母组合;

0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz

构造payload,先查询第一个字母:

复制代码
vince' and if(substring(database(),1,1)='a',1,0)#
//在intruder中,第一个数字1 为长度参数, 'a' 为第二个参数

发送到 intruder 做爆破;

如红框显示 , 字母a为第一个参数, 数据库长度为第二个参数;

爆破后的结果根据长度显示,payload1 的数字就是对应字母所在的位置;

得到数据库名称为 pikachu ;

三、根据库名,获取表名由于一个库有多张表 ,表的长度

构造payload,这条语句的意思时查 第一张表的第一个字字母 是否为 a ;

第一个 1 ,代表查第一张表,第二个1,1 代表查第一个字母;

复制代码
vince'and if(substring((select TABLE_NAME from information_schema.TABLES where
TABLE_SCHEMA=database() limit 1),1,1)='a',1,0)#

爆破参数如图:

得到结果如下:

payload1 为字母所在位置序号, 得出第一张表名为 httpinfo ;

以次类推,可以继续爆破后续的表,后续的字段;

相关推荐
bianguanyue1 小时前
SQLite密码修改故障排查:RSA加密随机性导致的数据库匹配问题
数据库·sqlite·c#
亚马逊云开发者1 小时前
将 Go 应用从 x86 平台迁移至 Amazon Graviton:场景剖析与最佳实践
linux·数据库·golang
张先shen2 小时前
亿级流量下的缓存架构设计:Redis+Caffeine多级缓存实战
数据库·redis·缓存
~ 小团子3 小时前
每日一SQL 【各赛事的用户注册率】
数据库·sql
llm2009093 小时前
Jmeter的JDBC数据库连接
数据库·jmeter
小袁拒绝摆烂3 小时前
SQL开窗函数
android·sql·性能优化
betazhou3 小时前
SQL server之版本的初认知
数据库·oracle·goldengate·sql server·ogg·gdr
superonion06203 小时前
【DB2】load报错SQL3501W、SQL3109N、SQL2036N
数据库
~ 小团子3 小时前
每日一SQL 【每月交易 I】
数据库·sql
apihz4 小时前
VM虚拟机全版本网盘+免费本地网络穿透端口映射实时同步动态家庭IP教程
android·服务器·开发语言·网络·数据库·网络协议·tcp/ip