文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Web安全解析Boolean注入攻击原理

2024-04-02 19:55

关注

1. Boolean注入攻击

Boolean注入攻击的测试地址:http://127.0.0.1/sqli/boolean.php?id=1。

访问该网站时,页面返回yes,如图19所示。

图19 访问id=1时页面的结果

在URL后添加一个单引号,再次访问,发现返回结果由yes变成no,如图20所示。

 

图20 访问id=1'时页面的结果

访问id=1' and 1=1%23,id=1' and 1=2%23,发现返回的结果分别是yes和no,更爱ID的值,返现返回的仍然是yes或者no,由此可判断,页面只返回yes或no,而没有返回数据库中的数据,所以此处不可使用Union注入。

此处可以尝试利用Boolean注入,Boolean注入是指构造SQL判断语句,通过查看页面的返回结果来推测哪些SQL判断条件是成立的,以此获取数据库中的数据。我们先判断数据库名的长度,语句如下所示。


' and length(database())>=1--+

因为查询语句前面有单引号,所以和源码中的SQL语句拼接后会多出一个单引号,因此需要注释符来注释。

http请求中+会被替换为空格与--组合成为注释符,空格也可用%20来代替,--%20效果等同。

由于#是用来指导浏览器动作的,对服务器端完全无用,所以,HTTP请求中不包括#。在第一个#后面出现的任何字符,都会被浏览器解读为位置标识符。这意味着,这些字符都不会被发送到服务器端。所以如果想用#注释符,就要将#转换为%23。

故上面的语句还可写为:


' and length(database())>=1--%20


' and length(database())>=1%23

1的位置上可以是任意数字,如' and length(database())>=3--+和' and length(database())>=4--+,我们可以构造这样的语句,然后观察也免得返回结果,如图21~23所示。

 

图21 判断数据库库名的长度(1)

 

图22 判断数据库库名的长度(2)

 

图23 判断数据库库名的长度(3)

以上几个语句的意思是,数据库库名的长度大于等于3,结果为yes;数据库库名的唱的大于等于4,结果为no。结合以上几个语句,可以判断出数据库的长度为3。

接着,使用逐字符判断的方式获取数据库库民。数据库库名的范围一般在a~z、0~9之内,可能还有一些特殊字符,这里的字母不区分大小写。逐字符判断的SQL语句为:


' and substr(database(),1,1)='t'--+

substr是截取的意思,其意思是截取database()的值,从第一个字符开始,每次只返回一个。

substr的用法和limit的有区别,需要注意。limit是从0开始排序,而substr是从1开始排序。可以使用Burp的爆破功能爆破每个位置的字符值,如图24所示,爆破结果如图25所示。

 

图24 利用Burp爆破数据库的库名(1)

 

图25 利用Burp爆破数据库的库名(2)

其实还可以使用ASCII码的字符进行查询,t的ASCII码是116,而在MySQL中,ASCII转换的函数为ord(),则逐字符判断的SQL语句应该为如下所示。


' and ord(substr(database(),1,1))=116--+

从Union注入和Burp的爆破结果中我们知道,数据库名是'test'。

查询表名、字段名的语句也应粘贴在database()的位置,从Union注入中已经知道数据库'test'的第一个表名是emails,第一个字母应当是e,判断语句如下所示。


' and substr((select table_name from information_schema.tables where table_schema='test' limit 0,1),1,1)='e'--+

以此类推,就可以查询出所有的表名和字段名,如图27所示,利用Burp爆破的结果如图28所示。

2. Boolean注入代码分析

在Boolean注入页面中程先获取GET参数ID,通过pre_match判断其中是否存在union/sleep/benchmark等危险字符。然后将参数ID拼接到SQL语句,从数据库中查询,如果有结果,则返回yes,否则返回no。当访问该页面时,代码根据数据库查询结果返回yes或no,而不返回数据库中的任何数据,所以页面上智慧显示yes或no,代码如下所示。


<?php
$con=mysqli_connect("localhost","root","root","test");
// 检测连接
if (mysqli_connect_errno())
{
    echo "连接失败: " . mysqli_connect_error();
}
$id = @$_GET['id'];
if(preg_match("/union|sleep|benchmark/i",$id))
{
    exit("no");
}
$sql = "select * from users where `id`='".$id."'";
$result = mysqli_query($con,$sql);
if(!$result)
{
    exit("no");
}
$row = mysqli_fetch_array($result);

if ($row) {
	exit("yes");
}else{
	exit("no");
}
?>

当访问id=1' or 1=1%23时,数据库执行的语句为select * from users where ‘id'=‘1' or 1=1#,由于or 1=1是永真条件,所以此页面可定会返回yes。当访问id=1' and 1=2%23时,数据库执行的语句为select * from users where ‘id'=‘1' and 1=2#,由于and1=2是永假条件,所以此时页面肯定会返回no。

以上就是Web安全解析Boolean注入攻击原理的详细内容,更多关于Web安全Boolean注入攻击的资料请关注编程网其它相关文章!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     801人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     348人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     311人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     432人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     220人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯