Web渗透的主要对象就是网站，任何网站都是建立在后端数据库的基础上，否则如何存储用户的数据呢？既然用户需要在网页中提取或者查询数据，这就避免不了和后端的数据库进行交互。显然，继而带来的问题就是，很容易存在SQL注入，通过SQL注入就能直达后端数据库，提取想要的。这样讲，应该能明白什么是SQL注入了吧？

下面，我们来详细实战下SQL注入中的布尔注入！

什么是Boolean注入？

Boolean注入，指的是基于布尔值的盲注，即可以根据返回页面判断条件真假的注入。只要存在Boolean注入，我们就能通过盲注的形式获取数据库。

Boolean注入实战

这里，我们选择的目标测试地址是我们win7靶机安装的sql测试平台。

192.168.31.16/sql/Less-5/?id=1

仔细看看，其实这对应的就是我们win7靶机web服务器的某一个网页页面，而且此时属于正常访问，比如：

以上是正常访问到的页面返回，现在我们使用Web测试神器Burp Suite（请先设置好火狐浏览器的代理、Burp的代理）

截断该测试地址的请求，然后发给“重发器”。

既然id=1是可以正常访问网页，那么我们尝试修改id的值，id=1’，添加一个单引号。此时发现页面显示数据库查询错误，没有显示“You are in......”

这里约定下：当我们正常访问时，显示的不是数据库中的数据，而是一个“You are in...”，你可以把这看成返回一个状态yes！而修改后的id值，页面显示错误，或者没有看到you are in时，你可以把它看成no！返回的页面只有yes和no两种状态，就可以使用boolean注入，而不能使用union注入。

既然通过修改id值已经判断目标页面存在boolean注入，那么如何进行利用呢？

• 首先要判断数据库名的长度

sql查询语句是：

‘and length(database())>=5--+

观察返回的页面是yes，还是no？你看到的是yes！说明数据库的名长度大于1。

解释：为什么要添加--+？因为原本正常sql查询语句默认都是自带‘’的，可是我们发现只有再添加一个特殊符号’才能触发页面返回no，这个单引号变成了我们这句sql拼接查询语句的内容一部分，因此就会造成‘’’,你会发现后面的’无法完成闭合，sql语句就会存在语法错误。所以为了完成闭合，首先我们就使用--注释符注释sql语句后面的内容，而+号在sql语句中就是空格的意思，--空格，就会被认为--’，那么整个sql查询语句就会变成‘ （‘带有左单引号的sql查询语句，且使用--+来自动添加右边的单引号’，完成闭合，否则源sql语句的右边引号就会无法正确匹配左边哪一个单引号）’。

细心的同学应该发现：

‘and length(database())>=1--+和
‘and length(database())>=1--’是一模一样的！

由于页面依然返回yes，说明数据库名长度大于1，修改id值：

‘and length(database())>=8--+

你会发现返回的依然是yes。

既然大于8，我们试试9：

‘and length(database())>=9--+

此时，我们就知道数据库的名字长度应该是8！

• 既然有8个长度，这个数据库名我们就可以进行爆破啦！

最多只有26个字母和0-9个数字，而且不区分大小写，逐字符判断猜解的SQL语句是：

' and substr（database(),1,1）='s'--+

这里只是随意使用了s字符带猜解数据库名的第一个字符！

Substr是截取，截取database()的值！它会自动分析s是否和数据库名字的第一个字母一样，如果一样，就会返回yes使用如下：

发现返回yes，那么目标数据库的名字第一个字母就是s啦！

那如何验证第二个字母呢？

’and substr（database(),2,1）=’e’--+（这里随意判断是不是e）

可是你tm要把26个字母和10个数字都去一一试一遍，显然不可取，所以我们使用高级的自动暴力字典破解帮我们完成任务。

准备a-z，0-9，以及特殊符号的字典文件。文件名命名为words.txt，一行一行的写入，如图！

打开burp，将重发器定向到测试器，清除格式，选中:

' and substr(database(),1,1)='s' --+中的s，并添加记号。

然后选择有效载荷，在里面配置我们c盘中的words.txt字典，点击开始攻击，几秒钟就能发现字母s是正确的结果，一般哪个长度不一样，谁就是！

既然使用burp爆破数据库名第一个了，那么我们可以继续破解第二个字母值。

' and substr(database(),2,1)='a'--+

怎么样，快吧？目前我们就已经知道数据库应该是se....了。同理，继续破解，这里时间原因，就直接告诉大家了，数据库名是“security”！。

• 既然知道数据库名，接下来获取表名、字段名啦！

获取表名的sql语句是：

将' and substr(database(),1,1)='a' --+中的database()修改如下:
' and substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e' --+ （字母随便定义）

解释：截取security数据库tables表中的字段table_name（所有表名）,在这一列存储有所有表的字段里，我们要找到属于security数据库的表名。而且查找第一个表名（limit 0，1）。后面的’e’，判断是否为字母e。

返回yes，说明猜解表的第一个字母值正确，至少看起来应该是“e....”。接下来我们就可以使用burp进行完整暴力枚举表名的下一个字母啦！

同理，继续破解，发现表名是emails！

• 既然数据库、表名都知道了，接下来获取字段名。

而这里用到的查询语句和上面有点不一样：

'+and+substr((select+column_name+from+information_schema.columns+where+table_schema='security'+and+table_name='emails'+limit+0,1),1,1)='i'--+

解释：在columns这张表里查找security（数据库名），以及emails（表名）下的所有字段名。这里是查找第一个字段中的第一个字母进行猜解，看看是不是i！

如你所愿，第一个字段名的第一个字母是i，接下来你可以使用Burp用同样的方法对该字段和下一个字段进行暴力枚举。

获取第二个字段名，可以修改limit即可：

'+and+substr((select+column_name+from+information_schema.columns+where+table_schema='security'+and+table_name='emails'+limit+1,1),1,1)='i'--+

以上sql语句，指的是查询第二个字段名（limit 1，1）中的第一个（1，1）字母值。

一次类推，就能知道第二个字段名是“email_id”，一个储存有邮件地址的字段。

• 数据库名、表名、字段名都知道了，如何获取字段名下的数据（字段值）呢？

比如，获取下图中的灰色数据库中邮件地址，毕竟这才有渗透的价值啊！

很简单，使用以下语句即可爆破字段名是emai_id中的第一条字段值中的第一个字符：

'+and+substr((select+email_id+from+security.emails+where+id='1'),1,1)='d'--+

发现返回yes，说明字段值（数据库数据—邮箱地址）的第一个字母是d，后面可以使用burp进行一个个的往后爆破，直到看到为止。

比如我们使用burp猜解字段值的第二字符：

'+and+substr((select+email_id+from+security.emails+where+id='1'),2,1)='d'--+

你会发现是u，显然和就是里面的第二个字母！

你可以继续验证爆破字段值的第三个字母。

'+and+substr((select+email_id+from+security.emails+where+id='1'),3,1)='d'--+

发现，就是m。然后以此类推，就能知道该字段内容就是一条Dumb.....这样的邮件地址。

其实boolean布尔注入是非常繁琐的，但是学起来很有规律，和我们的union联合注入很类似。恭喜你，你又进步了！

小白嘿客我想说

更多网络安全，关注我@小白嘿客。

想学更多黑客实战指导的Web渗透教程，可以点击>>《从新手到web白帽黑客》加入我头条获得永久学习，你也可以点击下方我的另一个专栏教程链接，学习《白帽黑客kali渗透指南》：

等你一起来学习！