📜  SQLbit – 自动化基于布尔的 SQL 盲注

📅  最后修改于: 2022-05-13 01:57:28.677000             🧑  作者: Mango

SQLbit – 自动化基于布尔的 SQL 盲注

SQL 注入或 SQLi 是 Web 应用程序安全漏洞,黑客或入侵者可以在其中误导 Web 应用程序对其存储数据库进行的 SQL 查询。这可能导致在没有授权访问的情况下查看数据、插入数据、操作数据。被操作的数据已经完全属于其他用户,或者Web应用程序本身能够访问的任何其他数据。如今,所有在线购物应用程序、银行交易都使用后端数据库服务器。因此,如果攻击者可以利用 SQL 注入,整个服务器就会受到威胁。

什么是 SQL 盲注?

当目标 Web 应用程序容易受到 SQL 注入攻击时,就会出现盲目的 SQL 注入攻击,但不同的是,HTTP 响应不包含任何应该根据查询检索的数据库结果或错误。 SQL 盲注可用于从数据库服务器获取敏感数据。最有可能的是,黑客向应用程序数据库询问真假(1 或 0)查询,并根据应用程序的答案研究这些响应。

例如:

http://geeksforgeeks.org/items.php?id=2

应用程序将以下查询传输到数据库:

然后,黑客可能会尝试注入返回“false”的恶意查询:

http://geeksforgeeks.org/items.php?id=2 and 1=2

现在 SQL 查询应该如下所示:

如果 Web 应用程序易受 SQL 注入攻击,那么它可能不会返回任何内容。为了确保,黑客将注入一个返回“true”的查询:

现在,从上面的例子中,这个过程可以通过自动化工具来完成。 SQLbit是自动化工具之一,它有可能在目标 Web 应用程序上检测基于布尔值的 SQL 盲注。 SQLbit 工具是用 Python3 语言开发的,我们可以从 GitHub 平台下载或获取该工具。

注意:确保您的系统上安装了Python ,因为这是一个基于 Python 的工具。点击查看安装过程:Linux上的Python安装步骤

在 Kali Linux 操作系统上安装 SQLbit Tool

第 1 步:在您的 Kali Linux 操作系统中从 GitHub 平台克隆该工具。

第 2 步:现在使用以下命令移动到该工具的目录。您必须在目录中移动才能运行该工具。

cd SQLbit

第 3 步:您在 SQLbit 的目录中。现在您必须使用以下命令安装 SQLbit 所需的依赖项。

sudo pip3 install -r requirements.txt

第 4 步:所有依赖项都已安装在您的 Kali Linux 操作系统中。现在使用以下命令运行该工具并检查帮助部分。

pythhon3 sqlbit.py -h

在 Kali Linux 操作系统上使用 SQLbit 工具

示例/用法:基本用法

python3 sqlbit.py

我们需要在配置文件中添加目标的 URL,因为此工具不接受命令行参数。

输入 URL 后,我们需要运行 sqlbit.py 文件。

您可以看到我们已经获得了 URL 数据库中存在的表的名称。

目标域的数据库中存在多个表。