SQL盲注攻击详解

描述
SQL盲注是SQL注入的一种特殊形式，攻击者在无法直接看到查询结果的情况下，通过观察应用的响应差异来推断数据库信息。与常规SQL注入不同，盲注不会直接返回数据，而是通过布尔状态（真/假）或时间延迟来间接获取数据。主要分为基于布尔的盲注和基于时间的盲注两种类型。

解题过程

1. 盲注的基本原理

• 触发场景：当应用执行SQL查询后不显示数据，但会根据查询结果返回不同页面内容（如"存在/不存在"）或不同HTTP状态码。
• 核心思路：通过构造SQL语句，观察页面响应是否满足预期条件，逐步推断出数据库结构或数据。
• 示例场景：登录表单验证时，应用返回"用户名错误"或"密码错误"，攻击者可通过差异判断用户名是否存在。

2. 基于布尔的盲注（Boolean-Based Blind Injection）
步骤1：确认注入点

• 输入测试载荷（如' AND '1'='1 返回正常页面，' AND '1'='2 返回异常页面），确认存在布尔响应差异。

步骤2：推断数据库信息

• 判断数据库类型：

  ' AND (SELECT @@version) LIKE '%MySQL%' -- 
  

  若返回正常页面，说明数据库可能是MySQL。
• 获取数据长度：

  ' AND (SELECT LENGTH(username) FROM users WHERE id=1)=5 -- 
  

  通过调整数字测试用户名长度，直到页面返回正常。
• 逐字符提取数据：

  ' AND (SELECT SUBSTRING(username,1,1) FROM users WHERE id=1)='a' -- 
  

  通过遍历字符（a-z, 0-9）确定第一个字符，逐步获取完整字段值。

步骤3：自动化工具辅助

• 使用Sqlmap等工具自动化探测：

  sqlmap -u "http://example.com?id=1" --technique=B --batch
  

3. 基于时间的盲注（Time-Based Blind Injection）
适用场景：当页面响应无布尔差异时，通过时间延迟函数判断条件真伪。
步骤1：测试延迟函数

• MySQL：SLEEP(5)
• PostgreSQL：PG_SLEEP(5)
• 输入载荷：' AND SLEEP(5) -- ，若页面响应延迟5秒，则确认注入点支持时间盲注。

步骤2：结合条件判断提取数据

' AND IF((SELECT SUBSTRING(username,1,1) FROM users WHERE id=1)='a', SLEEP(5), 0) -- 

• 若响应延迟，说明用户名首字母为'a'；否则继续测试其他字符。

步骤3：优化技巧

• 使用二分法减少测试次数（如判断字符ASCII码范围）。
• 注意网络波动可能影响时间判断准确性。

4. 防御措施

• 参数化查询：使用预编译语句分离代码与数据。
• 输入过滤：对用户输入严格校验（如白名单机制）。
• 最小权限原则：数据库账户仅授予必要权限。
• 错误处理：统一返回模糊错误信息，避免信息泄露。

总结
SQL盲注通过间接方式渗透数据库，需结合自动化工具与手动技巧。防御需从代码编写、权限管控、错误处理多层面入手，切断推断路径。