Pikachu-Sql-Inject -基于boolian的盲注

基于boolean的盲注:

1、没有报错信息显示;

2、不管是正确的输入,还是错误的输入,都只显示两种情况,true or false;

3、在正确的输入下,输入and 1= 1/and 1= 2发现可以判断;

布尔盲注常用函数

length(str):返回str字符串的长度。

substr(str, pos, len):将str从pos位置开始截取len长度的字符进行返回。注意这里的pos位置是从1开始的,不是数组的0开始

mid(str,pos,len):跟上面的一样,截取字符串

ascii(str):返回字符串str的最左面字符的ASCII代码值。

ord(str):同上,返回ascii码

if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0

布尔型盲注入用到得SQL 语句select if(1=1,1,0) if()函数在mysql 是判断,第一个参数表达式,如果条件成立,会显示1,否则显示0。1=1 表达式可以换成构造的SQL 攻击语句。

一、判断数据库名的长度:

从前面已经知道有个用户 为 vince ,如果长度判断正确,回返回vince 这个用户,错误则显示不存在;

通过payload ,从1、2、3...... 判断数据库名长度;

复制代码
vince' and length(database())=1#

发送到 intruder 做爆破,以长度的值为参数;

经过url编码,

爆破得到 当长度为7 时,返回 vince 这个用户;

所以数据库长度为7;

二、获取数据库名的每一位的字母

得知长度为7 后,去爆破数据库名;

查询数据库名称:

数据库名称由数字、字母组合;

0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz

构造payload,先查询第一个字母:

复制代码
vince' and if(substring(database(),1,1)='a',1,0)#
//在intruder中,第一个数字1 为长度参数, 'a' 为第二个参数

发送到 intruder 做爆破;

如红框显示 , 字母a为第一个参数, 数据库长度为第二个参数;

爆破后的结果根据长度显示,payload1 的数字就是对应字母所在的位置;

得到数据库名称为 pikachu ;

三、根据库名,获取表名由于一个库有多张表 ,表的长度

构造payload,这条语句的意思时查 第一张表的第一个字字母 是否为 a ;

第一个 1 ,代表查第一张表,第二个1,1 代表查第一个字母;

复制代码
vince'and if(substring((select TABLE_NAME from information_schema.TABLES where
TABLE_SCHEMA=database() limit 1),1,1)='a',1,0)#

爆破参数如图:

得到结果如下:

payload1 为字母所在位置序号, 得出第一张表名为 httpinfo ;

以次类推,可以继续爆破后续的表,后续的字段;

相关推荐
十八旬1 小时前
苍穹外卖项目实战(day7-1)-缓存菜品和缓存套餐功能-记录实战教程、问题的解决方法以及完整代码
java·数据库·spring boot·redis·缓存·spring cache
要一起看日出2 小时前
MVCC-多版本并发控制
数据库·mysql·mvcc
Hx__2 小时前
MySQL InnoDB 的 MVCC 机制
数据库·mysql
速易达网络2 小时前
ASP.NET MVC 连接 MySQL 数据库查询示例
数据库·asp.net·mvc
玉衡子3 小时前
MySQL基础架构全面解析
数据库·后端
梦中的天之酒壶3 小时前
Redis Stack扩展功能
数据库·redis·bootstrap
emma羊羊3 小时前
【 SQL注入漏洞靶场】第二关文件读写
sql·网络安全·靶场·sql注入
GreatSQL3 小时前
GreatSQL分页查询优化案例实战
数据库
Leo.yuan3 小时前
不同数据仓库模型有什么不同?企业如何选择适合的数据仓库模型?
大数据·数据库·数据仓库·信息可视化·spark
麦兜*4 小时前
MongoDB 6.0 新特性解读:时间序列集合与加密查询
数据库·spring boot·mongodb·spring·spring cloud·系统架构