基于boolian的盲注
前言:失效?
在 Pikachu 靶场的 Blind SQLi (Boolean) 关卡中,情况变了。无论我输入什么 Payload,页面只有两种反应:
- 显示用户信息(代表查询成功/真)。
- 显示“用户不存在”或空白(代表查询失败/假)。
后台屏蔽了报错信息,也不回显查询结果。数据库变成了“哑巴”,只会在我们问对问题时“点头”,问错时“摇头”。
所以我们要爆出数据库就只能一步一步的问。
怎么问?逻辑与(AND)
我们要构造一个逻辑判断题,利用页面的“真/假”状态来推测数据。
寻找“真”与“假”的基准
在盲注中,第一步必须找到一个稳定的参照系。
- 基准用户:必须使用一个数据库中真实存在的用户名(例如
kobe)。 - 逻辑运算符:必须使用
AND,而不是OR。
为什么不能用 OR?
如果在盲注中使用 kobe' or 1=1 #,SQL 语句变成 WHERE username='kobe' OR 1=1。
- 因为
1=1 永远为真,数据库会把表中所有用户(vince, allen, kobe...)都查出来。 - PHP 通常只取第一行(可能是 vince),导致页面显示的信息和你输入的
kobe不一致,失去了“控制变量”的能力,很难判断真假。
正确的测试逻辑 (AND)
利用 AND 的“一假则假”特性:
-
测试真 (True) 状态:
kobe' and 1=1 #- 逻辑:
真 AND 真 = 真 - 现象:页面正常显示 kobe 的手机号和住址。(这是点头)
- 逻辑:
-
测试假 (False) 状态:
kobe' and 1=2 #- 逻辑:
真 AND 假 = 假 - 现象:页面提示“用户不存在”或信息消失。(这是摇头)
- 逻辑:
结论: 只要能重现这两种不同的画面,就说明我们掌握了控制数据库说话的“开关”。
盲注“三板斧”
我们要把复杂的查询结果(如数据库名 pikachu),拆解成一个个“是/否”问题。需要用到以下三个 SQL 函数:
|函数|语法|作用|实战举例|||||
|length()|length(str)|猜长度|length(database())=7|||||
|substr()|substr(str, pos, len)|切片截取|substr(database(),1,1)(取第1个字符)|||||
| ascii() | ascii(char) |
转ASCII码 | ascii('p')(方便比大小,二分法) |
|---|
流程
进数据库->爆表名 -> 爆列名 -> 爆数据。
猜数据库:假设我们要通过盲注猜出当前数据库的名字。
第一步:猜长度
我们要确定数据库名字有几个字母。
-
Payload (猜它有99位):
kobe' and length(database())=99 #- 反馈: 页面信息消失(假)。说明长度不对。
-
Payload (猜它有7位):
kobe' and length(database())=7 #- 反馈: 页面显示 kobe 信息(真)。
- 结论: 数据库名长度为 7。
第二步:猜内容 (使用 substr)
确定长度为 7 后,开始猜第 1 个字母是什么。
-
Payload (猜它是 'x'):
kobe' and substr(database(),1,1)='x' #- 反馈: 页面信息消失(假)。
-
Payload (猜它是 'p'):
kobe' and substr(database(),1,1)='p' #- 反馈: 页面显示 kobe 信息(真)。
- 结论: 第 1 个字母是 'p' 。
第三步:进阶技巧 (使用 ascii 二分法)
如果只能用 '=' 一个个字母试(a, b, c...),效率太低。我们可以转成 ASCII 码比大小。
-
Payload:
kobe' and ascii(substr(database(),1,1)) > 100 #- 反馈: 真。说明字母的 ASCII 码大于 100。
- 接下来问是否大于 110,以此类推,通过折半查找快速锁定字符。
最后
手工盲注非常痛苦,理解原理后,实战中通常交给 SQLMap 或 Python 脚本来完成。
而且盲注需要比较好的数据库基础知识