1. 布尔盲注基础入门第一次接触布尔盲注时我也被这种看不见摸不着的注入方式搞得一头雾水。和普通SQL注入不同布尔盲注就像在黑暗房间里摸黑找东西只能通过是或否的反馈来获取信息。这种注入方式常见于网站关闭了错误回显但会根据SQL语句执行结果返回不同页面内容的情况。理解布尔盲注的核心在于掌握两个关键点条件判断和二分法思维。举个例子当我们输入id1 and 11时页面正常显示输入id1 and 12时页面异常这就是典型的布尔盲注特征。我刚开始测试时经常犯的一个错误是忽略了字符编码问题导致判断失误。后来发现先用和测试闭合方式再用and 11确认注入点会更稳妥。布尔盲注常用的函数组合需要烂熟于心length()判断长度substr()截取字符ascii()转换ASCII码sleep()时间盲注if()条件判断2. 手工探测实战技巧手工探测是布尔盲注的基本功我总结了一套高效的探测流程。首先用Burp Suite拦截请求在Repeater模块中逐步测试。第一步永远是确定注入类型数字型注入直接拼接条件字符型则需要考虑闭合引号和注释符。测试闭合方式时我习惯先用id1和id1观察页面变化。如果报错说明可能存在字符型注入如果正常再测试id1 and 11这类组合。最近遇到一个案例网站使用了addslashes()函数过滤单引号被转义成\这时就需要用id1\来触发错误。确定注入点后开始爆破数据库信息。我常用的payload模板and (select length(database()))5 and ascii(substr(database(),1,1))97爆破表名时要注意information_schema的使用技巧and (select count(table_name) from information_schema.tables where table_schemadatabase())23. 自动化工具辅助测试纯手工测试效率太低我推荐结合Burp Suite的Intruder模块进行自动化爆破。配置步骤很关键在Proxy拦截正常请求发送到Intruder选择攻击类型为Cluster bomb设置两个payload位置字符位置和ASCII值范围配置Grep Match规则识别响应差异我常用的payload设置Payload 1数字序列1-50对应字符位置Payload 2ASCII范围32-126可打印字符处理结果时有个小技巧先按响应长度排序再用Filter功能筛选出明显不同的响应。最近测试一个系统时发现响应码相同但页面标题不同这时就要关注细微的HTML差异。4. 数据库信息枚举实战枚举数据库信息是布尔盲注的核心环节。我习惯按这个顺序进行数据库版本version当前用户user()数据库名称database()数据目录datadir操作系统version_compile_os对于MySQL数据库重点爆破information_schema中的关键表schemata存储所有数据库tables存储所有表信息columns存储字段信息一个实用的表名爆破payloadand ascii(substr((select table_name from information_schema.tables where table_schemadatabase() limit 0,1),1,1))97字段爆破时要注意处理特殊字符我遇到过字段名包含下划线的情况这时需要用hex()函数转换后再判断。5. 数据提取与防御绕过提取关键数据是最终目标。对于用户表我通常先判断字段数量and (select count(*) from users)0然后爆破字段值and ascii(substr((select concat(username,:,password) from users limit 0,1),1,1))50遇到WAF防御时可以尝试这些绕过技巧大小写混合AnD 11注释符分割/*!and*/11空白字符替换%09and%0A11函数变形version/xyz/()对于MD5加密的密码我会先用length()判断是否为32位and length((select password from users limit 0,1))326. 实战案例与排错指南去年我测试过一个电商系统遇到了典型的布尔盲注场景。系统对and、or等关键词做了过滤但忽略了和||。通过这个案例我总结出几个排错要点确认页面差异机制有些系统会返回HTTP状态码变化有些是内容长度不同处理特殊字符编码特别是单引号、双引号的转义情况注意延迟问题网络延迟可能导致误判建议每个测试重复3次记录测试过程用Burp Suite的Logger插件保存所有请求响应一个实用的测试流程检查清单[ ] 确认注入类型数字/字符[ ] 测试关键词过滤情况[ ] 确定信息判断标准长度/内容[ ] 设计系统化的爆破方案[ ] 验证提取数据的准确性7. 安全建议与防御措施作为安全测试人员发现漏洞后应该提供建设性修复建议。对于布尔盲注我通常推荐这些防御方案预处理语句Prepared StatementsString query SELECT * FROM users WHERE id ?; PreparedStatement stmt connection.prepareStatement(query); stmt.setInt(1, userId);输入验证白名单if(!is_numeric($_GET[id])) { die(Invalid input); }最小权限原则数据库账户只授予必要权限错误处理统一返回模糊错误信息WAF规则针对常见注入模式设置防护在实际开发中ORM框架通常能自动防止SQL注入但要注意避免不安全的原生查询。我曾经审计过一个系统开发者虽然用了Hibernate但在动态排序处直接拼接SQL导致了注入漏洞。