Si la respuesta es correcta cuando la base de datos devuelve los resultados, y la información en la base de datos no se devolverá, puede usar la lógica para determinar si la inyección ciega es correcta para obtener información
Las apuestas a ciegas son un método que no puede obtener la base de datos a través de la visualización directa
En la apuesta ciega, el atacante juzga la información de prensa de acuerdo con la diferencia de la página devuelta (puede ser contenido de página diferente o tiempo de respuesta).
Clasificación de apuesta ciega
(1) ciega booleana
(2) Tiempo ciego
(3) Inyección ciega de tipo error
Funciones de inyección ciega de SQL de uso común
left (a, b) intercepta los primeros b bits de a desde la izquierda: left (database (), 1)> 's'
substr (a, b, c) comienza en la posición b e intercepta la longitud c de la cadena a
ascii () convierte un carácter a valor ASCII: ascii (substr (usuario), 1,1)) = 101 #
mid (a, b, c) comienza en la posición b e intercepta los bits c de la cadena
Funciones de inyección de errores comunes
_floor () Mysql :;
Valor de extracto (Mysql):
Updatexml (Mysql)
UTL_INADDR.get_host_address (Oracle)
Traducción lectura en voz alta copia es preguntar, por favor espere ... Vuelva a intentar leer en voz alta copia copia en voz alta copia a través de Google Translate (doméstica) traducción