基于boolean的盲注:
1、没有报错信息显示;
2、不管是正确的输入,还是错误的输入,都只显示两种情况,true or false;
3、在正确的输入下,输入and 1= 1/and 1= 2发现可以判断;
布尔盲注常用函数:
length(str):返回str字符串的长度。
substr(str, pos, len):将str从pos位置开始截取len长度的字符进行返回。注意这里的pos位置是从1开始的,不是数组的0开始
mid(str,pos,len):跟上面的一样,截取字符串
ascii(str):返回字符串str的最左面字符的ASCII代码值。
ord(str):同上,返回ascii码
if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0
布尔型盲注入用到得SQL 语句select if(1=1,1,0) if()函数在mysql 是判断,第一个参数表达式,如果条件成立,会显示1,否则显示0。1=1 表达式可以换成构造的SQL 攻击语句。
一、判断数据库名的长度:
从前面已经知道有个用户 为 vince ,如果长度判断正确,回返回vince 这个用户,错误则显示不存在;
通过payload ,从1、2、3...... 判断数据库名长度;
vince' and length(database())=1#
发送到 intruder 做爆破,以长度的值为参数;
经过url编码,
爆破得到 当长度为7 时,返回 vince 这个用户;
所以数据库长度为7;
二、获取数据库名的每一位的字母
得知长度为7 后,去爆破数据库名;
查询数据库名称:
数据库名称由数字、字母组合;
0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz
构造payload,先查询第一个字母:
vince' and if(substring(database(),1,1)='a',1,0)#
//在intruder中,第一个数字1 为长度参数, 'a' 为第二个参数
发送到 intruder 做爆破;
如红框显示 , 字母a为第一个参数, 数据库长度为第二个参数;
爆破后的结果根据长度显示,payload1 的数字就是对应字母所在的位置;
得到数据库名称为 pikachu ;
三、根据库名,获取表名由于一个库有多张表 ,表的长度
构造payload,这条语句的意思时查 第一张表的第一个字字母 是否为 a ;
第一个 1 ,代表查第一张表,第二个1,1 代表查第一个字母;
vince'and if(substring((select TABLE_NAME from information_schema.TABLES where
TABLE_SCHEMA=database() limit 1),1,1)='a',1,0)#
爆破参数如图:
得到结果如下:
payload1 为字母所在位置序号, 得出第一张表名为 httpinfo ;
以次类推,可以继续爆破后续的表,后续的字段;