首页 > 其他分享 >最新Boolean注入攻击和代码分析技术

最新Boolean注入攻击和代码分析技术

时间:2024-02-28 09:47:16浏览次数:23  
标签:返回 语句 no 数据库 database Boolean yes 代码 注入


Boolean注入攻击

Boolean注入攻击的测试地址在本书第2章。

访问该网址时,页面返回yes,如图4-25所示。

 

图4-25  

 

在URL后添加一个单引号,即可再次访问,随后会发现返回结果由yes变成no,如图4-26所示。 

 

 

图4-26  

 

访问id=1' and 1=1%23,id=1' and 1=2%23,发现返回的结果分别是yes和no。若更改ID的值,则发现返回的仍然是yes或者no。由此可判断,页面只返回yes或no,而没有返回数据库中的数据,所以此处不可使用Union注入。此处可以尝试利用Boolean注入。Boolean注入是指构造SQL判断语句,通过查看页面的返回结果推测哪些SQL判断条件是成立的,以此获取数据库中的数据。我们先判断数据库库名的长度,语句如下:

1' and length(database())>=1--+

有单引号,所以需要注释符来注释。1的位置上可以是任意数字,如1' and length (database())>=1--+、1' and length (database())>=4--+或1' and length(database())>=5--+,构造这样的语句,然后观察页面的返回结果,如图4-27~图4-29所示。 

 

 

图4-27

  

 

图4-28 

 

 

图4-29  

 

可以发现当数值为4时,返回的结果是yes;而当数值为5时,返回的结果是no。整个语句的意思是,数据库库名的长度大于等于4,结果为yes;数据库库名的长度大于等于5,结果为no,由此判断出数据库库名的长度为4。

接着,使用逐字符判断的方式获取数据库库名。数据库库名的范围一般在a~z、0~9,可能还有一些特殊字符,这里的字母不区分大小写。逐字符判断的SQL语句如下:

1' and substr(database(),1,1)='t'--+

substr是截取的意思,其意思是截取database()的值,从第一个字符开始,每次只返回一个。

substr的用法跟limit的用法有区别,需要注意。limit是从0开始排序,而这里是从1开始排序。可以使用Burp Suite的爆破功能爆破其中的't'值,如图4-30所示。

 

图4-30  

 

发现当值为t时,页面返回yes,其他值均返回no,因此判断数据库库名的第一位为t,如图4-31所示。 

 

图4-31  

 

还可以使用ASCII码的字符进行查询,t的ASCII码是116,而在MySQL中,ASCII转换的函数为ord,则逐字符判断的SQL语句如下:

1' and ord(substr(database(),1,1))=116--+

如图4-32所示,返回的结果是yes。 

 

图4-32

 

从Union注入中已经知道,数据库库名是'test',因此判断第二位字母是否为e,可以使用以下语句:

1' and substr(database(),2,1)='e'--+

如图4-33所示,返回的结果是yes。

  

图4-33  

 

查询表名、字段名的语句也应粘贴在database()的位置,从Union注入中已经知道数据库'test'的第一个表名是users,第一个字母应当是u,判断语句如下:

1'and substr((select table_name from information_schema.tables where table_schema='test' limit 0,1),1,1)='u'--+

结果如图4-34所示,结论是正确的,依此类推,就可以查询出所有的表名与字段名。 

 

图4-34  

 

 


Boolean注入代码分析

在Boolean注入页面,程序先获取GET参数ID,通过preg_match判断其中是否存在union/sleep/benchmark等危险字符。然后将参数ID拼接到SQL语句中,在数据库中查询,如果有结果,则返回yes,否则返回no。当访问该页面时,代码根据数据库查询结果返回yes或no,而不返回数据库中的任何数据,所以页面上只会显示yes或no,代码如下:

<?phperror_reporting(0);$con=mysqli_connect("localhost","root","123456","test");if (mysqli_connect_errno()){echo "连接失败: " . mysqli_connect_error();}$id = $_GET['id'];if (preg_match("/union|sleep|benchmark/i", $id)) {exit("no");}$result = mysqli_query($con,"select * from users where `id`='".$id."'");$row = mysqli_fetch_array($result);if ($row) {exit("yes");}else{exit("no");}?>

当访问id=1' or 1=1%23时,数据库执行的语句为select * from users where `id`='1' or 1=1#,由于or 1=1是永真条件,所以此时页面肯定会返回yes。当访问id=1' and 1=2%23时,数据库执行的语句为select * from users where `id`= '1' and 1=2#,由于and '1'='2'是永假条件,所以此时页面肯定会返回no。

 

Ms08067安全实验室专注于网络安全知识的普及和培训,是专业的“图书出版+培训”的网络安全在线教育平台,专注于网络安全领域中高端人才培养。

平台已开设Web安全零基础就业,Web高级安全攻防进阶,红队实战攻防特训,Java代码安全审计,恶意代码分析与免杀实战,CTF基础实战特训营,网络安全应急响应,安全工具开发,AI与网络安全等系统培训课程。实验室出版安全图书《Web安全攻防:渗透测试实战指南》、《内网安全攻防:渗透测试实战指南》、《Python安全攻防:渗透测试实战指南》、《Java代码审计:入门篇》等。

扫描客服微信 获取更多课件+学习资料

 

标签:返回,语句,no,数据库,database,Boolean,yes,代码,注入
From: https://www.cnblogs.com/ms08067/p/18039013

相关文章

  • git 分支切换合代码
    1、当前分支 2、提示有冲突不能切换 3、提交掉冲突代码,然后stash 4、切换到release分支 5、merger 6、pull和push ......
  • R语言武汉流动人口趋势预测:灰色模型GM(1,1)、ARIMA时间序列、logistic逻辑回归模型|附代
    全文链接:http://tecdat.cn/?p=32496原文出处:拓端数据部落公众号人口流动与迁移,作为人类产生以来就存在的一种社会现象,伴随着人类文明的不断进步从未间断。人力资源是社会文明进步、人民富裕幸福、国家繁荣昌盛的核心推动力量。当前,我国经济正处于从以政府主导的投资驱动型的经......
  • 从sql注入到web安全
    一、事情起因去年底的时候我看到几个国内开源框架又出来SQL注入,联想起HVV时候的各种OA、ERP的SQL注入。我觉得SQL注入这个事情是该有人管管了。二、Mybatis的一点回顾https://github.com/mybatis/mybatis-3/issues/1941如上,我在2020年开始就一直在和官方讨论${}的风险问题,官......
  • day43 动态规划part5 代码随想录算法训练营 474. 一和零 【粗略理解】
    题目:474.一和零我的感悟:有点难想,加油、111本题没敲,有机会敲一遍理解难点:两个维度的背包听课笔记:代码示例:classSolution:deffindMaxForm(self,strs:List[str],m:int,n:int)->int:dp=[[0]*(n+1)for_inrange(m+1)]#创建二维动......
  • idea使用MybatisX插件根据表自动生成代码
    1.情景展示在实际开发过程中,根据数据库的表生成对应的增删改查代码,最为常见。除了使用公司封装的代码自动生成外,有没有通用的呢?2.具体分析在idea当中,我们可以使用MybatisX插件生成:表对应的实体类、dao层所使用的的mapper.java文件、mybatis对应的xml文件、service层所需的......
  • day43 动态规划part5 代码随想录算法训练营 494. 目标和
    题目:494.目标和我的感悟:加油!理解难点:dp的几种方法的应用记住dp[j]+=dp[j-nums[i]]听课笔记:代码示例:classSolution:deffindTargetSumWays(self,nums:List[int],target:int)->int:total_sum=sum(nums)ifabs(target)>total_sum:......
  • Spring系列之(四)Spring的依赖注入
    Spring的依赖注入在当前类需要用到其他类的对象,其他类的对象也是由Spring创建并将引用传递给当前类的对象的,我们只需要在配置文件中说明,说白了就是为当前类填充(也叫注入)其他类的对象1.能够注入的数据能够注入的数据是指支持注入的这部分数据是可以被Spring填充(注入)到当前类的......
  • ctfshow sql注入练习记录
    前言:继续做ctfshow的题了,本次为sql注入专题,从ctfshowweb177开始ctfshowweb177对空格,--+进行了过滤,注释符要换成#的url编码%23使用万能密码可以绕过1'or'1'='1';%23也可也使用/**/对空格进行绕过,进行联合查询-1'union/**/select/**/1,2,password/**/from/**/ctfshow_use......
  • day43 动态规划part5 代码随想录算法训练营 1049. 最后一块石头的重量 II
    题目:1049.最后一块石头的重量II我的感悟:复习了昨天的模板是不一样,今天这个我推出来了。哈哈 理解难点:按照昨天的思路,dp[target]里面是能凑出来的最大值。a是另外能凑出来的和。diff是两者的差。听课笔记:我自己先写出的代码:classSolution:deflastStoneW......
  • 代码随想录算法训练营第三十天|回溯法总结
    回溯法总结回溯算法能解决如下问题:组合问题:N个数里面按一定规则找出k个数的集合排列问题:N个数按一定规则全排列,有几种排列方式切割问题:一个字符串按一定规则有几种切割方式子集问题:一个N个数的集合里有多少符合条件的子集棋盘问题:N皇后,解数独等等代码随想录(programmerc......