sql盲注的分类

什么是盲注    就是我们什么也不知道的情况下进行的注入   前边的注入  都是简单的注入   我们猜测 数据类型  之后 可以直接  union  去查    这种情况多用于   数据库增删查改中的 查    

bool盲注也用于查   这个的情况的就是我们前边都试了 没有用  就需要盲注了  （下边的实战是白盒测试）

而 增删改   就要我们 进行 延迟注入和报错注入 

1、bool盲注   

布尔盲注 就是利用一些逻辑函数  来爆取数据库的一些信息

演示一下  最简单的布尔 

条件  ：bool盲注的条件是    1、数据库的内容进行回显 

我们看一下  这类的源码    

了解一下  使用方法

  函数 length (str)= "  "       他的作用就是显示字符串的长度   

SELECT * from admin WHERE id=1  AND LENGTH(DATABASE())='4' ;      

我们执行上边我的那个语句   直接出来的表是空的呀

我们写对字符串长度之后

把表输出了呀   那这个目的是什么呀   ：  就是用来猜数据库名的长度的  ？   猜到了长度我们怎么知道他是什么名呀 ？

还需要一个函数   left 函数（从左到右逐个读取）   他的作用就是根据长度猜名字    用法 ：  left(database(),1)=a  //这个表示猜测database的第一位是a（因为这个）    再继续猜就得

演示一下

输入正确的  字母之后 查询可以继续进行  要是错误的 

就不会输出数据      注意一点就是查第二位的时候 要把我们第一位猜正确的写上

SQL中字符串截取函数(SUBSTRING)_sql substring-CSDN博客

bool盲注  如果数据不回显直接就   鸡鸡了  但是别急 下边有金牌辅助

上边还有这个 substr 截取函数  这个在第四十天的笔记

延时注入（if  sleep）

原理就是   sleep这个函数会在我们执行语句的时候   延迟执行  这个要搭配   if判断语句

if判断     举个例子     if(1=1,2,3)  如果1=1正确就执行2   如果不成功就执行  3 

这个多用来判断注入点   就是当我们的数据不会显的时候 我们可以这样注入  or if(1=1,sleep(5),0)  如果卡了   说明注入成功呀  那是不是结合 bool 盲注  就可以这样  ：  or if(left(database(),1)='a',sleep(3),0)    卡了就说明我们猜对了一位

演示一下

报错回显

updatexml(xml旧的内容，路径，新的内容)   下边这个大佬讲的很明白不懂可以看看他的文章

updatexml函数-报错注入原理学习-CSDN博客

updatexml  第一个和第三个参数是可以随便写的     第二个参数就是我们要注入 的内容

报错回显的利用条件就是   可以没有数据的回显  但是必须有报错函数的使用

利用 pikachu  演示：

' and updatexml(1,version(),1) and '          payload

利用报错获取信息：获取了版本号    这里有个进阶的语句    就是这样我们获取版本号如果 报错很长的话   就无法  分清 那该怎么办呀    我们之前不是学了一个 如果我们查找的数据有类似的就不会输出   我们使用   group_concat  进行输出    现在我们使用  concat 进行输出

详解MySQL中CONCAT()函数的用法（链接字符串）_mysqlconcat-CSDN博客

因为这个可以控制输出(拼接字符串)   所以我们就可以在结果前边 加上  易于分别的字符  

' and updatexml(1,concat(0x7e,database()),1) and '  

那我们当然可以进一步去爆表

逻辑布尔注入

这个其实和  延迟差不多  就是这个需要数据回显    就是我们输错了   他会提示我们的那种

演示：演示一下逻辑报错     

我们直接使用  or的时候  就会报错    但是我们使用and  就会给我们执行数据库的操作    逻辑就是 or我们输入的kobe是存在的  但是  or  因为前边这个就是对的了  他就不会再去看后边的   

但是  and逻辑   就是  前边的是对的  后边还是要进行的  为什么这个和前边的注入不一样啊  就是因为  这个是个  insert 类型的注入

 

利用逻辑判断  数据库的字母  substr 进行爆破注入 kobe' and substr(database(),1,1)='p'  #

只要逻辑对   就会有数据的回显      

说一声这个   substr(object,在那个位置截取字符，截取几个字符)    这个和上面的left的作用是类似的

爆破数据库表

涉及函数   exists函数    这个原意是预判断  语句  就是我们说   如果一个网站的访问量大于100  然后输出他的网站名     那后边这个就是有  exists进行执行 （为什么用它呀   就是他可以执行语句啊）

SQL EXISTS 运算符 | 菜鸟教程

kobe'  and exists(select * from a) #                 执行这个语句  演示一下爆破a

抓包   然后直接  发到   intruder  并对 aa 增加 payload  然后去添加字典  模式 选择狙击手就行  因为就一个   目标      这边好的字典大家可以直接去网上找我就随便写几个了

直接发到 repeater  

那不还可以接着爆破列呀是吧

sqlmap 解决盲注问题

sqlmap  帮助我们进行sql盲注问题  ：  你妹的手工注入真难啊  一遍一遍的猜  真难受   我们直接开启我们的 sqlmap之旅吧     

1、先找注入点      把这个url复制一下

1、

2、 爆表  有注入点之后我们直接进行  爆表

3、  爆列名  

上边这个命令错了哈  下边这个是

直接拿下  哎呀还是工具好用啊

实例  复现 delete 删除数据 漏洞

无回显  无报错的情况  那这个情况我们只能用什么 盲注啊   （延迟）

白盒测试  这个kkcms（源码在文末）

一个看片网站    那我们展示一下他的盲注吧（本地phpstudy 搭建网站我就不说了）

ctrl shift f  是全局搜索的意思   这边我就不演示了再

搜到这个之后我们进入这个ad_edit  网站（这个是在admin目录下的所以需要  后天管理员账号密码）为了直接复现  我直接说漏洞的位置

后台的这个登录删除 ： 

点删除抓包

payload ：直接注入在ID那边  %20and%20if(substr(database(),1,1)='k',sleep(2),null)%20

%20是空格url编码（）的意思  这个语句没毛病吧   我去发送了怎么没延迟啊

我们（猜猜可能是有过滤）输出

这个其实是 php自带的一个防注入(转义的魔术方法)的的  就是我们的注入  的  'xxx'   会被写成    '\xxx'\   那这样还注入个毛啊 注入   ？   我们可以进行ascii码进行绕过 

or%20if(ascii(substr(database(),1,1)=107,sleep(2),null)      (这里有个细节就是 必须用or呀  不然就是逻辑问题  and 不会判断后边的东西)   进行一下 ascii的转换 为什么 进行这个呀   因为我们转换之后 ' ' 就没了   这个ascii码的转换  是常用的绕过  '  '   的方法 

​​​​​​​

总结

主要学了不同的盲注方法    bool  用于数据的回显    延迟因为它本身注意作用就是判断用的  所以数据回显和报错代码的存在对他没影响

黑盒测试：如果是黑盒我们需要可以找注入点直接工具  也可以分析

第二种就是 根据数据的回显和报错进行分别测试  从而选择  不同的注入方法

bool型（需要数据的回显）

报错型  （需要 error函数的出现）

延迟型   最全能的可能搭配 bool进行爆破

火狐渗透  蓝奏云优享版

kk源码   蓝奏云优享版