一、概述

sql盲注是sql注入的一种,它不会根据你的sql注入语句来返回你想要知道的错误信息。

盲注可分为两种:

  • 布尔盲注: 根据注入语句返回Ture和False
  • 时间盲注: 界面的返回值只有True.加入特定的时间函数,查看web页面返回的时间差来判断注入语句的正确性。

因为数据库里的信息无法通过错误信息得到,所以只能通过盲注爆破猜解一个个字符值。
常见的猜解方法有三种:

  • 遍历法
  • 二分法
  • 与运算

二、方法介绍

1.遍历法

通过遍历可打印字符串0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!'#$%&()*+,-./:;<=>?@[]^_{|}~
来猜解正确的字符值

效率分析:

T(n)=(n+1)/2,这里的n为可打印字符串的长度,这里n为91,则确定一个字符值的大小平均要比较运算46次

2.二分法

可打印字符的 ASCII码的值范围大概在0x20和0x7f区间内。

(1)首先取区间的中间值mid跟目标元素的ascii码值对比,如果相等则结束搜索。
(2)如果目标元素的ascii码值小于mid,则在小于mid的区间内查找,否则在大于mid的区间查找,重复(1)
(3)如果找不到则退出

效率分析:

T(n)=log2 n,n=0x7f-0x20=95,则确定一个字符平均比较次数为6.6次。

3.与运算

运算规则:

0 & 0 = 0
0 & 1 = 0
1 & 0 = 0
1 & 1 = 1

即:两位同时为 1,结果才为1,否则为0

一个byte有8bit,假设8bit的低位到高位的值a、b、c、d、e、f、g、h,并且其值只能为0,1两种,其值大小为
a*2^0+b*2^1+c*2^2+d*2^3+e*2^4+f*2^5+g*2^6+h*2^7。所以我们只要将其值大小分别于1,2,4,8,16,32,64,128进行与运算,就能够确定每bit位的值,从而猜出其值大小。对于可打印字符的值小于127,最高bit为为0,所以只要比较7次就行了。

效率分析:

T(n)=7,一个字符值大小需要比较7次确认。

 
 
 
从上面的效率分析中,遍历法需要平均比较46次,二分法需要平均比较6.6次,与运算需要7次,因为http请求的时间开销会相对大,因此http请求次数越少,花费的时间会越少,所以sql盲注的效率大小为

二分法>=与运算> 遍历法

三、盲注实例

这里拿HFSEC平台的一道sql盲注,分别用三种不同的解法来对比一下效率

遍历法


运算结果

40356E66E78BB1DC1EFBC04FA4336F59
spend time: 207.9748649597168

二分法


运行结果

40356E66E78BB1DC1EFBC04FA4336F59
spend time: 14.131437301635742

与运算

运算结果

40356E66E78BB1DC1EFBC04FA4336F59
spend time: 15.214633703231812

从三种的不同解法的运算结果时间来看,遍历法花费了207秒、二分法花费了14秒,与运算花费了15秒。花费的时间还会受到网速和其他因素的影响,不是每次运行都会花费相同的时间,但总的结果来说,遍历法花费的时间很多,二分法和与运算花费的时间比较少。 所以在遇到sql盲注时,建议用二分法和与运算来猜解。

点击收藏 | 3 关注 | 1
登录 后跟帖