sql盲注的分类
什么是盲注 就是我们什么也不知道的情况下进行的注入 前边的注入 都是简单的注入 我们猜测 数据类型 之后 可以直接 union 去查 这种情况多用于 数据库增删查改中的 查
bool盲注也用于查 这个的情况的就是我们前边都试了 没有用 就需要盲注了 (下边的实战是白盒测试)
而 增删改 就要我们 进行 延迟注入和报错注入
1、bool盲注
布尔盲注 就是利用一些逻辑函数 来爆取数据库的一些信息
演示一下 最简单的布尔
条件 :bool盲注的条件是 1、数据库的内容进行回显
我们看一下 这类的源码
了解一下 使用方法
函数 length (str)= " " 他的作用就是显示字符串的长度
SELECT * from admin WHERE id=1 AND LENGTH(DATABASE())='4' ; 
我们执行上边我的那个语句 直接出来的表是空的呀
我们写对字符串长度之后
把表输出了呀 那这个目的是什么呀 : 就是用来猜数据库名的长度的 ? 猜到了长度我们怎么知道他是什么名呀 ?
还需要一个函数 left 函数(从左到右逐个读取) 他的作用就是根据长度猜名字 用法 : left(database(),1)=a //这个表示猜测database的第一位是a(因为这个) 再继续猜就得
演示一下
输入正确的 字母之后 查询可以继续进行 要是错误的
就不会输出数据 注意一点就是查第二位的时候 要把我们第一位猜正确的写上
SQL中字符串截取函数(SUBSTRING)_sql substring-CSDN博客
bool盲注 如果数据不回显直接就 鸡鸡了 但是别急 下边有金牌辅助
上边还有这个 substr 截取函数 这个在第四十天的笔记
延时注入(if sleep)
原理就是 sleep这个函数会在我们执行语句的时候 延迟执行 这个要搭配 if判断语句
if判断 举个例子 if(1=1,2,3) 如果1=1正确就执行2 如果不成功就执行 3
这个多用来判断注入点 就是当我们的数据不会显的时候 我们可以这样注入 or if(1=1,sleep(5),0) 如果卡了 说明注入成功呀 那是不是结合 bool 盲注 就可以这样 : or if(left(database(),1)='a',sleep(3),0) 卡了就说明我们猜对了一位
演示一下
报错回显
updatexml(xml旧的内容,路径,新的内容) 下边这个大佬讲的很明白不懂可以看看他的文章
updatexml 第一个和第三个参数是可以随便写的 第二个参数就是我们要注入 的内容
报错回显的利用条件就是 可以没有数据的回显 但是必须有报错函数的使用
利用 pikachu 演示:
' and updatexml(1,version(),1) and ' payload
利用报错获取信息:获取了版本号 这里有个进阶的语句 就是这样我们获取版本号如果 报错很长的话 就无法 分清 那该怎么办呀 我们之前不是学了一个 如果我们查找的数据有类似的就不会输出 我们使用 group_concat 进行输出 现在我们使用 concat 进行输出
详解MySQL中CONCAT()函数的用法(链接字符串)_mysqlconcat-CSDN博客
因为这个可以控制输出(拼接字符串) 所以我们就可以在结果前边 加上 易于分别的字符
' and updatexml(1,concat(0x7e,database()),1) and '
那我们当然可以进一步去爆表
逻辑布尔注入
这个其实和 延迟差不多 就是这个需要数据回显 就是我们输错了 他会提示我们的那种
演示:演示一下逻辑报错 
我们直接使用 or的时候 就会报错 但是我们使用and 就会给我们执行数据库的操作 逻辑就是 or我们输入的kobe是存在的 但是 or 因为前边这个就是对的了 他就不会再去看后边的
但是 and逻辑 就是 前边的是对的 后边还是要进行的 为什么这个和前边的注入不一样啊 就是因为 这个是个 insert 类型的注入
利用逻辑判断 数据库的字母 substr 进行爆破注入 kobe' and substr(database(),1,1)='p' #
只要逻辑对 就会有数据的回显
说一声这个 substr(object,在那个位置截取字符,截取几个字符) 这个和上面的left的作用是类似的
爆破数据库表
涉及函数 exists函数 这个原意是预判断 语句 就是我们说 如果一个网站的访问量大于100 然后输出他的网站名 那后边这个就是有 exists进行执行 (为什么用它呀 就是他可以执行语句啊)
kobe' and exists(select * from a) # 执行这个语句 演示一下爆破a
抓包 然后直接 发到 intruder 并对 aa 增加 payload 然后去添加字典 模式 选择狙击手就行 因为就一个 目标 这边好的字典大家可以直接去网上找我就随便写几个了
直接发到 repeater 
那不还可以接着爆破列呀是吧
sqlmap 解决盲注问题
sqlmap 帮助我们进行sql盲注问题 : 你妹的手工注入真难啊 一遍一遍的猜 真难受 我们直接开启我们的 sqlmap之旅吧
1、先找注入点
把这个url复制一下
1、
2、 爆表 有注入点之后我们直接进行 爆表
3、 爆列名 
上边这个命令错了哈 下边这个是
直接拿下 哎呀还是工具好用啊
实例 复现 delete 删除数据 漏洞
无回显 无报错的情况 那这个情况我们只能用什么 盲注啊 (延迟)
白盒测试 这个kkcms(源码在文末)
一个看片网站 那我们展示一下他的盲注吧(本地phpstudy 搭建网站我就不说了)
ctrl shift f 是全局搜索的意思 这边我就不演示了再
搜到这个之后我们进入这个ad_edit 网站(这个是在admin目录下的所以需要 后天管理员账号密码)为了直接复现 我直接说漏洞的位置
后台的这个登录删除 :
点删除抓包
payload :直接注入在ID那边 %20and%20if(substr(database(),1,1)='k',sleep(2),null)%20
%20是空格url编码()的意思 这个语句没毛病吧 我去发送了怎么没延迟啊
我们(猜猜可能是有过滤)输出
这个其实是 php自带的一个防注入(转义的魔术方法)的的 就是我们的注入 的 'xxx' 会被写成 '\xxx'\ 那这样还注入个毛啊 注入 ? 我们可以进行ascii码进行绕过 
or%20if(ascii(substr(database(),1,1)=107,sleep(2),null) (这里有个细节就是 必须用or呀 不然就是逻辑问题 and 不会判断后边的东西) 进行一下 ascii的转换 为什么 进行这个呀 因为我们转换之后 ' ' 就没了 这个ascii码的转换 是常用的绕过 ' ' 的方法
总结
主要学了不同的盲注方法 bool 用于数据的回显 延迟因为它本身注意作用就是判断用的 所以数据回显和报错代码的存在对他没影响
黑盒测试:如果是黑盒我们需要可以找注入点直接工具 也可以分析
第二种就是 根据数据的回显和报错进行分别测试 从而选择 不同的注入方法
bool型(需要数据的回显)
报错型 (需要 error函数的出现)
延迟型 最全能的可能搭配 bool进行爆破
火狐渗透 蓝奏云优享版
kk源码 蓝奏云优享版