记一次奇葩的sql注入联合查询黑名单绕过与布尔盲注绕过

最新推荐文章于 2025-05-15 17:46:59 发布
原创 最新推荐文章于 2025-05-15 17:46:59 发布 · 4.7k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #web安全 #安全

本文记录了一次SQL注入的实战经历,从Get型注入的发现到联合查询的尝试,再到布尔盲注的运用。过程中遇到了对`union select`及空格的屏蔽,通过使用%0B作为空格替代,成功获取部分数据。然而,当尝试通过布尔盲注获取更多信息时,遭遇拦截。通过逻辑运算符||绕过拦截,最终获取了数据库版本信息。文章详细阐述了利用布尔盲注和逻辑运算符进行信息探测的方法,展示了在安全防护下进行SQL注入攻击的复杂性和挑战。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

近日为甲方爸爸挖漏洞,又是遇到奇葩SQL注入的一天。

首先,页面是这个样子滴
在这里插入图片描述
注意两个蓝色的框

一个小单引号之后,报错了,好样的,sql注入无疑了

在这里插入图片描述
由于是Get型注入,所以一开始想直接用union联合查询

  1. 使用二分法得知,字段数量是9

在这里插入图片描述
2. 使用联合查询,这里被拦住了

在这里插入图片描述
代码君已私奔到月球,这是啥玩意?

一开始以为是最常见的 union select 联合查询黑名单过滤,于是乎使用了大部分的方式都是对这两个单次进行绕过,什么大小写、双拼、编码转换,这里要说的是, /**/ 这种的也会被屏蔽

在这里插入图片描述
而后进行了一系列绕过后,发现并没有什么卵用,采坑经过就不披露了,然后偶然间发现不是屏蔽了union select
在这里插入图片描述

大师,我悟了,我明白了,这是屏蔽了union select 之后的东西,比如说空格?
竟然%20 + /**/这几种常见的空格替代符不能用,我想到了用 %0b

在这里插入图片描述'+union+select%0B1,2,3,4,5,6,7,8,9;%00 获得字段显示位置

我真是个小机灵鬼,多出来一段,而且字段2 正好对应了

获取用户名
'+union+select%0B1,user(),3,4,5,6,7,8,9;%00

在这里插入图片描述
拿到了用户名,但是又没完全拿到,通过分析,这里限制长度不能在页面上直接修改,那么还有一个简单的方式,分段拿数据

拿从第五位开始,后四位的数据
'+union+select%0B1,mid(user(),5,4),3,4,5,6,7,8,9;%00

在这里插入图片描述

依次类推,就出来了。

又又又是一次注入,这一次是纯正血统的布尔盲注
在这里插入图片描述
竟然是布尔盲注,那当然是想要用 and / or 进行爆数据

在这里插入图片描述
当我使用 and or 之后,都是403,这是被拦截了

之后我想起了上一次我遇到的宝塔面板拦截
传送门____>>>>>链接: https://blog.youkuaiyun.com/weixin_48421613/article/details/115181668.

没错,我使用逻辑运算符,这里面我使用的是 || 因为 **&&**被屏蔽了

条件为真时数据变化
key=1'+||+1='1

在这里插入图片描述

条件为假时数据变化
key=1'+||+1='2

在这里插入图片描述
通过这个特性,可以利用一哈,获取自己想要的数据

第一弹当然是想获取一下用户名长度

key=1'+||+length(user())='14

将之放入到burpsuite的intruder模块进行爆破
由于是单条数据爆破,所以使用Sniper模块
在这里插入图片描述payload 选择 number模块
在这里插入图片描述
降低线程,否则会挂掉哈

在这里插入图片描述
通过字段长度判断用户名长度

在这里插入图片描述
当我想获取用户名信息时

key=1'+||+ascii(substr(user(),1,1))='1

在这里插入图片描述
好像是被D盾拦住了

怎么办?只这一条数据并不能说明什么,那么想到了一个猥琐的玩法

key=1'+||+instr(version(),5)='1

这条语句是我更改之后的,目测也很好使,玩法就是版本5 出现在第一位

出现就是真,不出现就是假

一开始想的是

left(str,1)    从左数前一位字符
rigth(str,1)   从右数前一位字符

但是没出来啥东西,但是instr好使,这里面屏蔽了 ascii、substr、mid等等函数

在这里插入图片描述
成功获取到第一位数据库版本为5 ,也算是可以交差了

SQL注入——布尔盲注,延时盲注,宽字节注入
weixin_46601374的博客
02-27 2719
什么是盲注? 有时目标存在注入,但在页面上没有任何回显,此时,我们需要利用一些方法进行判断或者尝试得到数据,这个过程称之为盲注。 盲注函数 length() 函数 返回字符串的长度 ?id=1 and length(database())>1 substr() 截取字符串 , 从第一位截取一个 id=1 and substr(database(),1,1)='k' substr(内容,1,1) 显示第一个字符 ord()/ascii() 返回字符的ascii码 ..
安全】P 2-18 绕过剔除黑名单(union和select)的SQL注入
Z_David_Z的博客
02-15 779
目录0X01 基础知识介绍0X02 去除(union)的代码分析0X03 绕过去除(union)的sql注入0X04 sqlmap安全检测 0X01 基础知识介绍 1、Mysql中的大小写不敏感,大写小写一样。 2、Mysql 中的十六进制URL编码通过解码识别。 3、符号和关键字替换 and – &&、or – ||。 4、空格使用 %20表示、%0a换行 %09 tab 0X02 去除(union)的代码分析 preg_replace(mixed $pattern , mixed
CTF Web BugKu sql注入布尔盲注+绕过
最新发布
2301_79806187的博客
05-15 1002
尝试username=admin,显示“password error!尝试username=hhh,显示“username does not exist!尝试username=hhh'or'1显示“password error!”,那么注入点在username中,布尔盲注。构建注入语句的时候发现还会回显illegal character,说明有过滤。利用bp和sql字符过滤字典初步筛选出过滤的字符,如下图后来尝试的时候又发现了for也被过滤了。我的思路:布尔盲注的两个关键点就是截取字符串和比较。
SQL注入原理及步骤以及黑名单绕过方式
lxz021202的博客
04-01 1862
总结SQL注入原理及其步骤,包括不同类型的注入方法,还有黑名单绕过方法。
sql注入黑名单绕过漏洞分析
若有战,召必回
10-25 1050
分析:该方法对参数进行非空判断,之后将我们的SQL_REGEX常量以|分割开来赋值给sqlKeywords数组,接着就是对数组依次遍历查看参数中是否存在数组中的相关字符串,若存在就会抛出异常。上面是我们的常量,我们发现对我们大部分的sql注入的敏感内容进行了限制,但是可以利用可根据MySQL的特性绕过,像使用/**/注释符我们可以利用这个来绕过滤。目前的最新版本是v4.7.9,我们发现在最新版本的黑名单中增加了like和*/,那么我们上面的poc就打不通了。
SQL注入-绕过篇】
m0_62373986的博客
08-29 1768
绕过\的关键点在于网站在对输入数据进行处理时,只进行了一次URL编码,所以将%25转化成%后,不会再检查后面的%27。1、宽字节注入在上一篇博客讲到,是因%df+%5c结合为一个宽字节因为GBK编码组合成一个汉字,从而使\失效。2、除此之外,若\没有被网站过滤,也可以利用\对字符的转义来进行SQL注入。网站初次检测用户输入%2527,因为URL编码将%25转化成%,此时用户输入未检测到特殊字符,直接将%27输入到数据库中。2、若\没有被过滤,使用\令闭合符失效。1、宽字节绕过(%df%5c)
php 绕过gpc,TinyShop SQL注入(开启GPC,绕过过滤)
weixin_42104778的博客
03-24 1240
### 简要描述:之前的都是找程序员的疏忽,这个位置是绕过程序的防注入。### 详细说明:环境:GPC = On```public static function sql($str) //过滤函数{if (!get_magic_quotes_gpc()){ //gpc off 就转义,把之前那个奇葩的漏洞补了//不使用主要是因为,先有mysql的连接//$str = mysql_real_es...
xss绕过尖括号和双括号_一次有意思的XSS过滤绕过2
weixin_36211712的博客
12-23 2453
前几天在漏洞挖掘中遇到个xss,感觉绕过过程蛮有意思的,写篇文章录下。接下里是我对这个xss详细的分析和绕过存在问题站点http://******/index/appInfo?appId=784&url=xss当我查看源代码搜索xss:一处输出点:继续搜索第二处输出点:两次输出,第一次输出是在input标签中,第二次是在js中,这里不考虑input中利用了。因为input的type为hi...
如何绕过检测上传php文件,shell上传绕过检测方法
weixin_36026440的博客
03-11 802
文件上传漏洞是所有漏洞中最为直接,有效的获取服务器权限的方法。但是想要利用好他并不容易,因为他的上传姿势实在是太过花哨(多)。所以这里介绍一些简单的上传姿势。望大牛误喷shell上传条件:1、上传点2、绝对路径3、要有权限文件上传检验姿势1、客户端javascript校验(一般只校验后缀名)2、服务端校验①文件头content-type字段校验(image/gif)②文件内容头校验(GIF89a)...
第04篇:XSS三重URL编码绕过实例1
08-03
本文主要探讨了一个XSS三重URL编码绕过的实例,揭示了在某些情况下,简单的防御措施可能不足以阻止攻击。 首先,我们要理解XSS的基本概念。XSS攻击通常发生在Web应用程序未能正确过滤或转义用户输入的情况下。当...
mysql注入fuzz字典_sql注入fuzz bypass waf
weixin_30467861的博客
01-28 962
本帖最后由 xmidf 于 2018-7-11 10:16 编辑作者:whynot 转自:先知0x0 前言这里是简单对sql注入绕过waf的一个小总结,非安全研究员,这里不讲原理,关于原理搜集了一些其他大佬的文章(文章在最下面请自取),感谢他们的分享,比着葫芦画瓢,对着各大waf厂商跟着师傅们来一波实战,进行一个简单的总结。0x1 注入点检测一般的注入还是很好判断的,特别是基于报错,但有...
SQL注入
WX公众号-小白学安全
03-31 930
SQL注入概述 SQLSQL(Structured Query Language) – 结构化查询语句 ​ 用途:用于存取数据以及查询、更新和管理关系数据库系统 什么是SQL注入? ​ SQL注入是服务器端未严格校验客户端发送的数据,而导致服务器端SQL语句被恶意修改并成功执行的行为 本质:把用户输入的数据当作代码执行 注入产生原因 代码对带入SQL语句的参数过滤不严格 未启用框架的安全配置。例如:PHP的magic_quotes_gpc 未使用框架安全的查询方法 测试接口未删除 未启用防火墙 未使
SQL注入实战:绕过操作
ting_liang的博客
01-27 3355
preg replace(mixed $pattern, mixed $replacement, mixed$subject):执行-个正则表达式的搜索和替换。id=1 && 1=1或者?可以利用网络中的开源的URL在线编码,绕过SQL注入的过滤机制。1、大小写变形,Or,OR,oR,And,ANd,aND等-代码中大小写不敏感都剔除。3、利用符号代替--and --&& --or--|| 等。5、网站的每个数据层的编码统一,建议全部使用utf-8编码。
mysql bool盲注_bool盲注+各种姿势绕过过滤和替换
weixin_35019679的博客
01-27 989
题目来源题目界面比较简单,只让你输入id,输对了告诉你 You are in,输错了就 You are not in可以想到这是一个盲注,经简单测试,提交字母a进不去,1可以。也就是说通过注入如果进去了,说明注入的语句成功执行,反之没有执行,典型的bool盲注bool盲注的一般思路一般来说,bool盲注通常是通过一位一位爆破字符来实现的,常用的函数如下:1234567891011121314151...
python实现sql布尔盲注(多个cookie,引号过滤绕过
箭雨镜屋
07-04 471
本文使用python3的requests模块发送和接收http报文 1、Cookie头包含多个值 单个cookie的情况,cookie可以通过headers参数传入,比如: import requests url = "http://192.168.101.16/pikachu/vul/sqli/sqli_blind_b.php" headers={ "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) A
sql注入过滤绕过实例
Sumarua的博客
06-19 1581
靶场 云演sql注入过滤绕过靶场 漏洞分析 1、漏洞点:index.php 我们可以看到,在第38行,通过 GET方式传入了id 值,然后会经过过滤,然后直接拼接到 SQL 语句中。 由下图可知,picture.php 通过 GET 方式接收 id值,接收的值会直接拼接到SQL语句中,存在SQL注入漏洞,但是有过滤,需要我们绕过。 2、分析过滤字符 $black = [’=’,‘union’,’/’,’/’,‘order’,‘load’,‘by’,‘group’,‘sleep’,‘update’,‘de
Web安全SQL各类注入绕过
2401_84281638的博客
04-27 1500
其中concat()函数为连接函数,连接波浪号和查询信息,波浪号常常使用0x7e代替,substr为截取函数,因为报错信息最多32位,或者使用limit分页函数。
渗透测试-SQL注入手法绕过手段
Sgirll的博客
06-17 1293
union select 1,group_concat(table_name),3:使用 UNION 操作符,这部分查询语句返回一个包含三列数据的结果集:第一列是数字 1,第二列是目标数据库中所有数据表的名称列表,这里使用了 GROUP_CONCAT 函数进行聚合拼接,第三列是数字 3。该攻击利用了 SQL 注入漏洞,通过修改原有的 SQL 语句,绕过了应用程序的输入校验机制,从而对目标数据库造成了安全风险。id=1:假定这是一个 Web 应用程序的 URL 查询字符串参数,指定了 id 参数的值为 1。
探索安卓奇葩音乐播放器:源码解读个性化使用
资源摘要信息:"安卓奇葩音乐播放器源码是一个专为Android平台开发的音乐播放应用。此项目具备一些有趣的特性,比如其独特的UI设计和特定的音乐处理方式。应用启动后,会自动扫描SD卡上的音乐文件,过滤掉时长少于一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值