Web安全解析Boolean注入攻击原理

目录
  • 1. Boolean注入攻击
  • 2. Boolean注入代码分析

1. Boolean注入攻击

Boolean注入攻击的测试地址:http://127.0.0.1/sqli/boolean.php?id=1。

访问该网站时,页面返回yes,如图19所示。

图19 访问id=1时页面的结果

在URL后添加一个单引号,再次访问,发现返回结果由yes变成no,如图20所示。

图20 访问id=1'时页面的结果

访问id=1' and 1=1%23,id=1' and 1=2%23,发现返回的结果分别是yes和no,更爱ID的值,返现返回的仍然是yes或者no,由此可判断,页面只返回yes或no,而没有返回数据库中的数据,所以此处不可使用Union注入。

此处可以尝试利用Boolean注入,Boolean注入是指构造SQL判断语句,通过查看页面的返回结果来推测哪些SQL判断条件是成立的,以此获取数据库中的数据。我们先判断数据库名的长度,语句如下所示。

因为查询语句前面有单引号,所以和源码中的SQL语句拼接后会多出一个单引号,因此需要注释符来注释。

http请求中+会被替换为空格与--组合成为注释符,空格也可用%20来代替,--%20效果等同。

由于#是用来指导浏览器动作的,对服务器端完全无用,所以,HTTP请求中不包括#。在第一个#后面出现的任何字符,都会被浏览器解读为位置标识符。这意味着,这些字符都不会被发送到服务器端。所以如果想用#注释符,就要将#转换为%23。

故上面的语句还可写为:

' and length(database())>=1--%20

' and length(database())>=1%23

1的位置上可以是任意数字,如' and length(database())>=3--+和' and length(database())>=4--+,我们可以构造这样的语句,然后观察也免得返回结果,如图21~23所示。

图21 判断数据库库名的长度(1)

图22 判断数据库库名的长度(2)

图23 判断数据库库名的长度(3)

以上几个语句的意思是,数据库库名的长度大于等于3,结果为yes;数据库库名的唱的大于等于4,结果为no。结合以上几个语句,可以判断出数据库的长度为3。

接着,使用逐字符判断的方式获取数据库库民。数据库库名的范围一般在a~z、0~9之内,可能还有一些特殊字符,这里的字母不区分大小写。逐字符判断的SQL语句为:

' and substr(database(),1,1)='t'--+

substr是截取的意思,其意思是截取database()的值,从第一个字符开始,每次只返回一个。

substr的用法和limit的有区别,需要注意。limit是从0开始排序,而substr是从1开始排序。可以使用Burp的爆破功能爆破每个位置的字符值,如图24所示,爆破结果如图25所示。

图24 利用Burp爆破数据库的库名(1)

图25 利用Burp爆破数据库的库名(2)

其实还可以使用ASCII码的字符进行查询,t的ASCII码是116,而在MySQL中,ASCII转换的函数为ord(),则逐字符判断的SQL语句应该为如下所示。

' and ord(substr(database(),1,1))=116--+

从Union注入和Burp的爆破结果中我们知道,数据库名是'test'。

查询表名、字段名的语句也应粘贴在database()的位置,从Union注入中已经知道数据库'test'的第一个表名是emails,第一个字母应当是e,判断语句如下所示。

' and substr((select table_name from information_schema.tables where table_schema='test' limit 0,1),1,1)='e'--+

以此类推,就可以查询出所有的表名和字段名,如图27所示,利用Burp爆破的结果如图28所示。

2. Boolean注入代码分析

在Boolean注入页面中程先获取GET参数ID,通过pre_match判断其中是否存在union/sleep/benchmark等危险字符。然后将参数ID拼接到SQL语句,从数据库中查询,如果有结果,则返回yes,否则返回no。当访问该页面时,代码根据数据库查询结果返回yes或no,而不返回数据库中的任何数据,所以页面上智慧显示yes或no,代码如下所示。

<?php
$con=mysqli_connect("localhost","root","root","test");
// 检测连接
if (mysqli_connect_errno())
{
    echo "连接失败: " . mysqli_connect_error();
}
$id = @$_GET['id'];
if(preg_match("/union|sleep|benchmark/i",$id))
{
    exit("no");
}
$sql = "select * from users where `id`='".$id."'";
$result = mysqli_query($con,$sql);
if(!$result)
{
    exit("no");
}
$row = mysqli_fetch_array($result);

if ($row) {
	exit("yes");
}else{
	exit("no");
}
?>

当访问id=1' or 1=1%23时,数据库执行的语句为select * from users where ‘id'=‘1' or 1=1#,由于or 1=1是永真条件,所以此页面可定会返回yes。当访问id=1' and 1=2%23时,数据库执行的语句为select * from users where ‘id'=‘1' and 1=2#,由于and1=2是永假条件,所以此时页面肯定会返回no。

以上就是Web安全解析Boolean注入攻击原理的详细内容,更多关于Web安全Boolean注入攻击的资料请关注我们其它相关文章!

(0)

相关推荐

  • Web安全之XSS攻击与防御小结

    Web安全之XSS攻防 1. XSS的定义 跨站脚本攻击(Cross Site Scripting),缩写为XSS.恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的. 2. XSS的原理 攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码). 诱使受害者打开受到攻击的服务器URL. 受害者在Web浏览器中打开URL,恶意脚本执行. 3. XSS的攻击方式 (1)反射型: 发出请求时,XSS代码出现在U

  • WEB前端常见受攻击方式及解决办法总结

    一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法. 一.SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句.比如先前的很多影视网站泄露VIP会员密码

  • 详解常见web攻击手段

    目录 Web攻击 一.XSS 攻击 1.攻击原理 2.防护手段 二.CSRF 攻击 1.攻击原理 2.防护手段 三.SQL 注入攻击 1.攻击原理 2.防护手段 四.文件上传漏洞 五.DDOS攻击 1.攻击原理 2.DDoS分类 Web攻击 在互联网中,攻击手段数不胜数,我们平时不能以自己只是普通的开发程序员而不是安全方向的开发者为理由,而不去掌握基本的 Web 攻击手段!我们来熟悉一下有哪几种常见的 Web 攻击手段 常见的 Web 攻击手段主要有 XSS 攻击.CSRF 攻击.SQL 注入攻

  • Web网络安全分析Union注入攻击原理详解

    目录 1.Union注入攻击 2.Union注入代码分析 1.Union注入攻击 Union注入攻击的测试地址:http://127.0.0.1/sqli/union.php?di=1. 访问该网址时,页面返回的结果如图6所示. 图6 访问id=1时页面的结果 在URL后添加一个单引号,再次访问,如图7所示,页面返回结果与id=1的结果不同. 图7 访问id=1'时页面的结果 访问id=1 and 1=1,由于and 1=1为真,所以页面应返回与id=1相同的结果,如图8所示.访问id=1 an

  • Web安全解析Boolean注入攻击原理

    目录 1. Boolean注入攻击 2. Boolean注入代码分析 1. Boolean注入攻击 Boolean注入攻击的测试地址:http://127.0.0.1/sqli/boolean.php?id=1. 访问该网站时,页面返回yes,如图19所示. 图19 访问id=1时页面的结果 在URL后添加一个单引号,再次访问,发现返回结果由yes变成no,如图20所示. 图20 访问id=1'时页面的结果 访问id=1' and 1=1%23,id=1' and 1=2%23,发现返回的结果分

  • Web网络安全解析cookie注入攻击原理

    目录 cookie注入攻击 cookie注入代码分析 cookie注入攻击 cookie注入攻击的测试地址:http://127.0.0.1/sqli/cookie.php. 发现URL中没有GET参数,但是页面返回正常,使用Burp Suite抓取数据包,发现cookie中存在id=1的参数,如图56所示. 图56 cookie数据 修改cookie中的id=1为id=1',然后再次访问该URL,发现页面返回错误.接下来,分别修改cookie中id=1 and 1=1和id=1 and 1=2

  • Web网络安全分析时间注入攻击原理

    目录 SQL注入进阶 1.时间注入攻击 2.时间注入代码分析 SQL注入进阶 1.时间注入攻击 时间注入攻击的测试地址:http://127.0.0.1/sqli/time.php?id=1. 访问该网站时,页面返回yes,在网址的后面加上一个单引号,再次访问,页面返回no.这个结果与Boolean注入非常相似,这里介绍另一种注入方法--时间盲注.它与Boolean注入的不同之处在于,时间注入是利用sleep()或benchmark()等函数让MySQL的执行时间变长.时间盲注多与IF(expr

  • Web网络安全分析XFF注入攻击原理详解

    目录 XFF注入 XFF注入代码分析 XFF注入 XFF注入攻击的测试地址:http://127.0.0.1/sqli/xff.php. X-Forwarded-for简称XFF头,它代表客户端真实的IP,通过修改X-Forwarded-for的值可以伪造客户端IP.通过Burp Suite住区数据包内容,将X-Forwarded-for设置为11.22.33.44,然后访问改URL,页面返回正常,如图62所示. 图62 XFF头 将X-Forwarded-for设置为11.22.33.44',

  • Web网络安全分析Base64注入攻击原理详解

    目录 Base64注入攻击 Base64注入代码分析 Base64注入攻击 Base64攻击的测试地址:http://127.0.0.1/sqli/base64.php?id=MQ%3d%3d. 从URL中可以看出,ID参数经过Base64编码(%3d是=的URL编码格式),解码后发现ID为1,尝试加上一个单引号并一起转换成Base64编码,如图59所示. 图59 对1'进行Base64编码 当访问id=1'编码后的网址时(http://127.0.0.1/sqli/base64.php?id=

  • Web网络安全解析宽字节注入攻击原理

    目录 宽字节注入攻击 宽字节注入代码分析 宽字节注入攻击 宽字节注入攻击的测试地址:http://127.0.0.1/sqli/kuanzijie.php?id=1. 访问id=1',页面返回的结果如图46所示,程序并没有报错,反而多了一个转义符(反斜杠). 图46 单引号被转义 从返回的结果可以看出,参数id=1在数据库查询时是被单引号包围的.当传入id=1'时,传入的单引号又被转义符(反斜杠)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在SQL注入漏洞的.不过有一个特

  • Web安全解析报错注入攻击原理

    目录 1.报错注入攻击 2.报错注入代码分析 1.报错注入攻击 报错注入攻击的测试地址:http://127.0.0.1/sqli/error.php?username=1. 访问该网址时,页面返回ok,如图28所示. 图28 访问username=1时页面的的结果 访问http://127.0.0.1/sqli/error.php?username=1',因为参数username的值是1',在数据库中执行SQL时,会因为多了一个单引号而报错,输出到页面的结果如图29所示. 图29 访问user

  • Web网络安全分析堆叠查询注入攻击原理

    目录 1.堆叠查询注入攻击 2.堆叠准入代码分析 1.堆叠查询注入攻击 堆叠查询注入攻击的测试地址:http://127.0.0.1/sqli/duidie.php?id=1. 堆叠查询可以执行多条语句,多语句之间以分好隔开.堆叠查询注入就是利用这个特点,在第二个SQL语句中构造自己要执行的语句.首先访问id=1',页面返回MySQL错误,在访问id=1'--+,页面返回正常的结果.这里可以使用Boolean注入.时间注入,也可以使用另一种注入方式--堆叠注入. 堆叠注入的语句为: ';sele

  • Web网络安全分析二次注入攻击原理详解

    目录 二次注入攻击 二次注入代码分析 二次注入攻击 二次注入攻击的测试地址:http://127.0.0.1/sqli/double1.php?username=test 和 http://127.0.0.1/sqli/double2.php?id=1. 其中,double1.php页面的功能是注册用户名,也是插入SQL语句的地方:double2.php页面的功能是通过参数ID读取用户名和用户信息. 第一步,访问double1.php?username=test',如图40所示. 图40 注册用

随机推荐