6.3.1 SQL盲注攻擊基本原理

SQL盲注攻擊基本原理Web滲透與防護WebPenetrationTesting&Protection引入該用戶不存在！找不到該文檔！目錄2SQL盲注的基本定義13SQL盲注中常用的MySQL函數和子句4SQL盲注的分類SQL盲注分析SQL盲注的基本定義頁面中沒有回顯服務器返回的錯誤信息，只能構造特殊的SQL語句進行簡單的判斷，對比頁面顯示的不同來獲取數據庫信息以實現SQL注入。SQL盲注無法獲知頁面提示信息多次構造相似的payload，獲取“有/無”或“正確/錯誤”的返回猜解關鍵數據信息SQL盲注的分類

布爾盲注

時間盲注錯誤盲注通過頁面返回的True和False來判斷構造的payload是否正確，從而猜解出數據庫中的數據通過時間函數改變頁面的返回時間，通過頁面不同的響應時間來判斷payload是否成功執(zhí)行通過特定的函數使服務器返回錯誤信息并顯示在頁面中，以獲取數據庫相關信息sleep()函數常用的MySQL函數和子句SQL盲注中常用的MySQL函數和子句length(str)獲取str字符串的長度ascii(str)獲取str字符的ASCII值length(database())：獲取數據庫名的長度substr(str,1,1)：截取str字符串的第1個字符substr(str,1,2)：截取str字符串的前2個字符substr(str,2,1)：截取str字符串的第2個字符substr(str,1)：截取str全部的字符a：97；b：98；……z：122A：65；B：67；……Z：90substr(str,pos,len)str：被截取的字符串pos：截取的開始位置len：截取字符串的長度獲取截取的字符SQL盲注中常用的MySQL函數和子句常用的MySQL函數和子句count(col)獲取指定字段col的記錄數sleep(n)SQL語句執(zhí)行的時候強制停留n秒count(table_name)：

獲取table_name字段有多少條記錄count(column_name)：

獲取column_name字段有多少條記錄select*fromtableNamelimit0,1：獲取第1行記錄數據select*fromtableNamelimit0,5：獲取第1-5行記錄數據select*fromtableNamelimit1,1：獲取第2行記錄數據select*fromtableNamelimit1,5：獲取第1-6行記錄數據sleep(5)：SQL語句執(zhí)行的時候停留5秒if(conditon,expr1,expr2)當condition條件滿足時，執(zhí)行expr1語句當condition條件不滿足時，執(zhí)行expr2語句if(length(database())=5,sleep(3),1)：當數據庫名長度為5時，SQL語句執(zhí)行時強制停留3秒；當數據庫名長度不是5，則返回1limit[offset,rows]獲取select語句執(zhí)行后指定的記錄數offset為記錄行的偏移rows為返回記錄的行數SQL盲注分析SQL注入點構造SQL語句獲取數據

判斷是否可能存在SQL注入漏洞

獲取數據庫相關信息

構建惡意SQL語句