SQL盲注
SQL盲注
- 在SQL注入过程中,SQL语句执行后,选择的数据不能回显到前端页面此时需要利用一些方法进行判断或者尝试,这个过程称之为盲注。
- 在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响应时间不同)。一般情况下,盲注可分为两类:
- 基于布尔的盲注(Boolean based):某些场合下,页面返回的结果只有两种(正常或错误)。通过构造SQL判断语句,查看页面的返回结果(True or False)来判断哪些SQL判断条件成立,通过此来获取数据库中的数据。
- 基于时间的盲注(Time based):又称延时注入,即使用具有延时功能的函数sleep、benchmark等,通过判断这些函数是否正常执行来获取数据库中的数据。
简单说就是你输入正确或者错误没有提示信息,也没有任何报错信息,然后才进行盲注。
条件语句类型
Microsoft SQL Server:IF (‘a’=‘a’) SELECT 1 ELSE SELECT 2
MySQL:SELECT IF(‘a’,1,2)
Oracle:SELECT CASE WHEN ‘a’='a’THEN 1 ELSE 2 END FROM DUALSELECT decode(substr(user,1,1),‘A’,1,2)FROM DUAL
PostgreSQL:SELECT CASE WHEN (1=1)THEN ‘a’ else 'b’END
常用函数
if()函数
语法:if(判断语句,参数1,参数2)
不难看出,如果第一个判断语句正确,那么就返回参数1,否则返回参数2。
left()、right()函数
功能:用于从左到右截取指定字符串个数的字符串。
right()函数同理。
substr()、substring()函数
功能:从指定位置开始,截取字符串指定长度的子串。
语法:str(string,len)、str(string,pos)、substring(str,pos)或substring(str,pos,len)。
参数:str:要操作的字符串;pos:提取子串的开始位置;len:指定要提取子串的长度。
ASCII()、ord()函数
功能:返回字符串最左边字符的ASCII码值。
CAST()、CONVENT()函数
功能:获取一个类型的值,并产生另一个类型的值
语法:cast(value as type)、convert(value、type)
可转换类型:二进制,字符型,日期,时间,浮点数…
睡眠函数sleep()
功能:让语句延迟一段时间,执行成功之后返回0。
语法:sleep(N),N代表延迟的时间。
延迟函数benchmark()
功能:让某语句执行一定的次数,执行成功之后返回0。
语法:benchmark(number,oper),即让oper执行number次。
md5()是对括号中的内容进行md5运算。
基于布尔类型的盲注实操
首先进入sqli的Less-8:然后发现这是一个没有错误提示的页面,而且也没有什么回显位置,只有一行字。
第一步:要先判断输入是什么类型:
首先测试id=1和id=1’,发现当输入1’的时候,页面没有任何显示了:
可以理解为出现了错误,这时猜测可能是数字型的,然后使用and1=1和and1=2进行测试:
发现即使and 1=2也没有出现任何错误,就是页面依然存在,这里可以认为输入是一个字符串类型,把and1=2当作字符串进行输入了,原语句可能是:select * from XX where id=‘AA’;第一步已经知道输入时字符串类型了,接下来再去想这个表有多少列,可以使用order by语句进行判断:
这里可以发现,现在输入4的时候没有任何显示,可以理解为这个表没有4列这么多,直到输入3的时候开始有显示,则可以推断出这个表有三列。接下来再进行判断这个库是什么,这里因为没有任何回显,也没有什么报错,怎么找呢?这里有一个思路,每个字符都有自己的ASCII编码,可以通过判断每个字符的ASC编码的值,然后进行判断,这样的话工作量就比较大了,但也不失为一个好办法:
使用二分法可以判断,但是如果库名足足有20个字符这么长,那么就工作量太大了,如此机械且重复的工作,指向一个工具,它叫做BurpSuite,可以通过设置padload还有攻击方式,然后我们观察结果反馈就可以直到最终的结果:
通过观察回包的长度,就可以大体推断具体的数值。
基于时间的盲注实操
精髓就是sleep函数,根据延迟的时间对结果进行判断,其它还是按照步骤进行。
添加了单引号或者双引号,and 1=1,或者and1=2之后都没有出现什么错误,所以猜测可能输入的是字符串,然后将and1=2包含了进去,所以才没有出现任何错误:
接下来进行引号的闭合,然后再进行测试:
发现使用单引号之后,界面输出是很慢的,也就表示sleep函数生效了,所以确定是单引号闭合。
用以上语句判断库的长度。
接下来就是破解每个库的字符真实数值了:
接下来就是表名,先进行长度的判断:
再进行字符的判断:
这里就是查找库security库下的表名,工作量非常大。