CTFHUB-WEB-SQL注入-布尔盲注

知识点：

Burp suite爆破模块intruder的设置：

Positions设置

attack type：攻击模式设置
sniper：对变量依次进行破解。多个标记依次进行。单参数爆破，多参数时同一个字典按顺序替换各参数，总之初始值有一个参数不变。
battering ram：对变量同时进行破解。多个标记同时进行。多参数同时爆破，但用的是同一个字典。
pitchfork：每一个变量标记对应一个字典，取每个字典的对应项。 多参数同时爆破，但用的是不同的字典。
cluster bomb：每个变量对应一个字典，并且进行交集破解，尝试各种组合。适用于用户名+密码的破解。多参数做笛卡尔乘积模式爆破。
add：插入一个新的标记
clear：清除所有的标记
auto：自动设置标记，一个请求发到该模块后burpsuite会自动标记cookie URL等参数
refresh：如果必要的话，这可以要求模板编辑器的语法高亮。

Payload设置(配置字典)

Payload Set：指定需要配置的变量
Payload type：Payload类型。
Simple list:简单字典
Runtime file:运行文件
Custom iterator:自定义迭代器
Character substitution:字符替换
Recursive grep:递归查找
lllegal unicode:非法字符
Character blocks:字符块
Numbers:数字组合
Dates:日期组合
Brute forcer:暴力破解
Null payloads:空payload
Username generator：用户名生成
copy other payload：复制其他payload

load : 导入字典文件
然后点击start attack即可进行密码爆破

用到的函数：

Length（）函数 返回字符串的长度
Substr（）截取字符串，有三个参数，第一个是要截取的字符串，第二个是从第几个字符开始，第三个是一次截取多少个字符
ascii（） 字符的ASCII码值

盲注的一般步骤：

题目：

靶机环境，输入1后显示query_success。提示查询成功，但不会回显内容，只有查询语句语法错误是才显示error

输入1’后显示query_error

手工注入：

求数据库名的长度，长度为4

求数据库名每个位的ASCII码值，使用burp suite抓包，右键，send to intruder进行爆破

在1和137位置add 添加负载，attack type位置选择cluster bomb，可以同时爆破两个负载

为每一个负载都设置爆破方式，第一个为数字爆破，从1开始，到4（数据库名长度）结束

第二个负载也设置为数值型，开始爆破

爆破成功后，点击length，查看payload2对应的就是每位对应的ascii码值，对应ascii码表即为sqli

其它步骤都与上面的相似，需要借助burp suite工具爆破。这种手工注入的方式有些慢，效率不高。

使用sqlmap注入

sqlmap是一个强大的SQL自动注入工具，输入相关命令后会自动注入，比手工注入方便太多。

输入sqlmap，出现如下画面则表示sqlmap安装成功（kali自带sqlmap工具）

获取数据库名：sqlmap.py -u 环境链接 –dbs
按照提示，输入Y，即可获得全部的数据库名

得到数据库名为sqli

获取表名

获取列名

获取字段值：sqlmap -u 链接 -D sqli -T flag -C flag –dump。即可获得flag