前言

平时在测试SQL注入漏洞得时候，会遇到各种类型的注入，本次在不使用自动化注入的工具下以sqllibs靶场为例来介绍使用burp爆破功能和ASCII表进行布尔型盲注。

准备

需要用到的SQL函数：

MID():

MID() 函数用于从文本字段中提取字符。语法：SELECT MID(column_name,start[,length]) FROM table_name;
中间的3个参数都是必需的，其中column表示要提取字符的字段；start表示开始位置；length表示要返回的字符数。
ASCII()：
ASCII()函数用于将字符转换为ASCII码。
IF():
IF()既可以作为表达式用，也可在存储过程中作为流程控制语句使用。
SLEEP():
SLEEP(N)函数，强制让语句停留N秒钟以确定我们的程序是否在服务器端执行。
根据以上函数我们可以构造语句如下：

if(ascii(mid(database(),1,1))<100,sleep(5),1)

## 如果当前数据库名字的第一个字符的ASCII码小于100，那么停留5秒。

过程

我们已经通过sleep函数确定了注入点以及当前数据库的第一个字符=115，通过对照ASCII表为s

http://192.168.110.244/sql/Less-5/?id=1%27%20and%20if(ascii(mid(database(),1,1))=115,sleep(5),1)%23
接下来用burp抓包准备爆破数据库名
首先找到注入点然后抓包

因为我们需要爆破数据库名的每一个字符，所以用到cluster bomb来爆破

payload1相当于输入字符的数量和顺序，根据实际情况而定，为了以防长度不够这里多输些

payload2就是ASCII码

添加完毕后就可以爆破了，因为是布尔盲注，所以可根据返回长度的大小来判断，如下图返回长度为908说明错误，924说明正确

返回的ASCII码按照payload1的顺序排列为115、101、99、117、114、105、116、121，转换为对应的字母为s e c u r i t y。

附录

用到的部分ASCII码表：

(二进制) (八进制) (十进制) (十六进制)
0110 0011 143 99 0x63 c 小写字母c
0110 0100 144 100 0x64 d 小写字母d
0110 0101 145 101 0x65 e 小写字母e
0110 0110 146 102 0x66 f 小写字母f
0110 0111 147 103 0x67 g 小写字母g
0110 1000 150 104 0x68 h 小写字母h
0110 1001 151 105 0x69 i 小写字母i
0110 1010 152 106 0x6A j 小写字母j
0110 1011 153 107 0x6B k 小写字母k
0110 1100 154 108 0x6C l 小写字母l
0110 1101 155 109 0x6D m 小写字母m
0110 1110 156 110 0x6E n 小写字母n
0110 1111 157 111 0x6F o 小写字母o
0111 0000 160 112 0x70 p 小写字母p
0111 0001 161 113 0x71 q 小写字母q
0111 0010 162 114 0x72 r 小写字母r
0111 0011 163 115 0x73 s 小写字母s
0111 0100 164 116 0x74 t 小写字母t
0111 0101 165 117 0x75 u 小写字母u