普通的sql注入大致可以通过在提交框中输入单引号、双引号和括号等看网页的返回内容来判断，但有很多网站并不会将一些敏感数据显示到前端，而它们仍然是存在sql注入漏洞的。那么黑客面对这种不回显的sql注入漏洞，也可以通过一些方法和技巧实现他们的目的，获取到他们想要的一些信息，这个过程就称为sql盲注。

如果注入的成功与否，页面的返回值会有差异的话，那么可以调取函数做一些比较操作，通过观察页面的返回做布尔值的盲注，就是一个一个字符去比对去验证。如果页面完全没有任何返回差异的话，也不是毫无办法，可以做基于时间的盲注。

基于布尔值的sql盲注

sql注入需要我们对sql语句及一些函数做到熟悉及灵活运用。

截取字符串常用函数

盲注有时需要一个一个字符去猜，因此一些字符串操作的函数经常被用到。

mid(column_name,start,length)函数

其功能为截取字符串，其中columa_name为要截取的字段参数，start参数表示开始截取的位置（起始值是1），length参数表示要截取的长度，非必需，如果不填则默认截取到最后。

其中column_name参数也可以是其他函数或是select语句，如：MID(DATABASE(),1,1)表示数据库名字的第一位，MID((SELECT table_name FROM INFORMATION_SCHEMA.TABLES WHERE T table_schema=xxx LIMIT 0,1),1,1)表示某查询语句的返回值的第一位，其中语句可以自行构造注入。

substr(string, start, length)函数

此函数功能与mid()函数类似，参数也一样，可以替换使用。

Left(string，n)函数

此函数功能为得到string字符串的左面指定n位的字符，如Left(database(),1)表示数据库名的左边一位，Left(database(),2)表示数据库名的左边两位。

ORD()函数和ASCII()函数

作用相同，将字符转为ascii 值，如ORD(MID(DATABASE(),1,1))>114 意为检测database()的第一位ASCII码是否大于114，也即是‘r’。

正则表达式攻击

使用正则表达式是因为这样更加灵活，如正则表达式中 ^[a-z] 表示字符串中开始字符是在 a-z范围内，这样就可以不用一个一个去试，节省时间。

select user() regexp '^[a-z]' 这句话就是正则表达式的用法，这里user()是root，有下图

正确的时候返回1，错误时返回0。

like匹配注入

和正则表达式一样，为了提高匹配效率的一种方法，应用如下图：

基于报错的sql盲注

参考博客：sql注入报错注入原理解析

报错型sql注入原理分析

报错型注入是利用了MySQL的第8652号bug ：Bug #8652 group by part of rand() returns duplicate key error来进行的盲注，使得MySQL由于函数的特性返回错误信息，进而我们可以显示我们想要的信息，从而达到注入的效果。其他数据库也有类似的问题，但我们在这里暂且不提。

Bug 8652的主要内容就是在使用group by 对一些rand()函数进行操作时会返回duplicate key 错误，而这个错误将会披露关键信息，如

"Duplicate entry '####' for key 1"

这里的####正是用户输入的希望查询的内容，而该bug产生的主要原因就是：在rand()和group by同时使用到的时候，可能会产生超出预期的结果，因为会多次对同一列进行查询

对这个bug进行利用要求我们构造出一些能触发这种bug的语句，网上有一些公式来触发：

?id=1' union Select 1,count(*),concat(你希望的查询语句,floor(rand(0)*2))a from information_schema.columns group by a--+

其中rand函数作用是产生一个0-1的随机数，floor的作用是向下取整。

原理是这样，rand函数得出的序列是关键。

mysql在遇到select count(*) from tables group by x;这语句的时候会建立一个虚拟表(实际上就是会建立虚拟表)，整个工作流程就会如下图所示：

1.先建立虚拟表，如下图(其中key是主键，不可重复)

2.开始查询数据，取数据库数据，然后查看虚拟表存在不，不存在则插入新记录，存在则count(*)字段直接加

由此看到 如果key存在的话就+1， 不存在的话就新建一个key。

mysql官方有给过提示，就是查询的时候如果使用rand()的话，该值会被计算多次，那这个“被计算多次”到底是什么意思，就是在使用group by的时候，floor(rand(0)*2)会被执行一次，如果虚表不存在记录，插入虚表的时候会再被执行一次，我们来看下floor(rand(0)*2)报错的过程就知道了，从0x04可以看到在一次多记录的查询过程中floor(rand(0)*2)的值是定性的，为011011…(记住这个顺序很重要)，报错实际上就是floor(rand(0)*2)被计算多次导致的。

所以这整个流程是这样，在查询前系统会默认建立一张虚拟表，之后取第一条记录，执行floor(rand(0)*2)，结果为零，虚表中不存在结果为0的序列，因此会被插入，但这个时候rand会再次执行一次，此时的结果变为1，因此插入虚表的序列就变成了1，之后查询第二条时发现结果为1，此时我们不会再计算rand而是直接将count加一，插入第三条时，rand结果为零，虚表中不存在结果为零的序列，因此要新建一项，在新建时再次计算rand，此时的结果计算出是1，而1已经存在于虚拟表中，再新建一个主键为1的会导致主键冲突，因此直接报错。

floor(rand()*2)报错

由于没加入随机因子，所以floor(rand()*2)是不可测的，因此在两条数据的时候，只要出现下面情况，即可报错

前面几条记录查询后不能让虚表存在0,1键值，如果存在了，那无论多少条记录，也都没办法报错，因为floor(rand()*2)不会再被计算做为虚表的键值，这也就是为什么不加随机因子有时候会报错，有时候不会报错的原因。

通过floor函数：select * from message where id=1 union select * from (select count(*), concat(floor(rand(0)*2),(select user())) a frominformation_schema.tables group by a)b

其他方式

通过updatexml函数：select *from message where id=1 and updatexml(1,(concat(0x7c,(select @@version))),1);

updatexml的爆错原因很简单，updatexml第二个参数需要的是Xpath格式的字符串。我们输入的显然不符合。故报错由此报错。updatexml的最大长度是32位的，所以有所局限（PS：但是应对大多的已经足够。）如果密码长度超过了32位就不会被显示出来。

通过extractvalue函数：select * from message where id=1 and extractvalue(1,concat(0x7c,(select user())));

此外还有：id =1 and EXP(~(SELECT * from(select user())a))

GeometryCollection()

id = 1 AND GeometryCollection((select * from (select * from(select user())a)b))

polygon()

id =1 AND polygon((select * from(select * from(select user())a)b))

multipoint()

id = 1 AND multipoint((select * from(select * from(select user())a)b))

multilinestring()

id = 1 AND multilinestring((select * from(select * from(select user())a)b))

linestring()

id = 1 AND LINESTRING((select * from(select * from(select user())a)b))

multipolygon()

id =1 AND multipolygon((select * from(select * from(select user())a)b))

以上六个函数原理类似，执行如下：

基于时间的sql盲注

基于时间的盲注其实和基于布尔值的盲注差不多，只是关于对错的参考物变成了时间，并且会涉及到一些有关时间的函数。基于布尔值的盲注基本是将系统字符串拆分并逐个比较，根据页面返回的变化来判断。基于时间的sql盲注原理并没有太大的改变，只是想办法把对错与时间绑定在一起而已，为此我们需要用到以下一些新的函数。

If(ascii(substr(database(),1,1))>115,0,sleep(5))%23

上面这句话使用了IF将字符比较与sleep5毫秒连接到了一起，IF的用法很好理解，if(a,b,c),a是一个判断语句，如果a为真就返回b，如果a为假就返回c。上面这句话就是做了一个 字符串比较操作，如果对应ascii码不大于115，就执行sleep（5），这样我们就可以观察到。

select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8,9,.'));

上面这句话意思是在0-9中找版本中的第一位，不同的数字会有不同的返回时间，不过这只是一个理论情况，我们肉眼是无法分辨这样微小的时间差异的，不过如果用到循环的话是可以实现的，比如下面的benchmark。

UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘MSG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;

BENCHMARK(count,expr)用于测试函数的性能，参数一为次数，二为要执行的表达式。可以让函数执行若干次，返回结果比平时要长，通过时间长短的变化，判断语句是否执行成功。但这会占用大量的cpu资源，因此如果可以用sleep()函数替代，我们更推荐后者。