一、前置基础盲注与流量分析核心概念1.1 什么是SQL盲注常规SQL注入会直接回显数据库数据而SQL盲注无直接数据回显仅通过页面响应差异、响应时间差异判断SQL语句执行结果是CTF流量分析中高频考点。主要分为布尔盲注和时间盲注两类。1.2 流量分析视角的核心关注点HTTP请求数据包GET/POST请求参数、URL编码、注入 payload 特征流量行为特征请求频次、响应时长、页面返回状态差异注入核心逻辑通过构造真假语句、延时函数借助流量差异推导数据1.3 盲注通用数据爆破思路所有盲注均采用逐位猜解逻辑针对数据库名、表名、字段名、数据内容通过ASCII字符比对逐个判断字符数值最终拼接完整数据。二、SQL布尔盲注重点2.1 核心原理利用SQL语句真假布尔结果对应的页面响应差异判断数据。当构造的SQL查询语句为真时页面正常返回内容正常、状态码200语句为假时页面报错、内容空白或返回异常提示以此判定猜解的字符是否正确。2.2 核心函数与语法CTF常用length()获取字符串长度用于先判断目标数据位数substr()截取指定位置字符语法substr(字符串,起始位置,截取长度)ascii()将字符转为ASCII码实现数字比对猜解逻辑运算符and、or用于拼接判断条件2.3 经典Payload模板1. 判断数据库名长度?id1 and length(database())52. 逐位猜解数据库名?id1 and ascii(substr(database(),1,1))1103. 猜解表名/字段名替换database()为select导出的表名字符串2.4 流量包核心特征流量分析必考请求特征大量高频相似GET请求参数携带length、substr、ascii、、、 等判断字符响应差异存在明显的两种响应数据包正常内容/异常空白无固定延时编码特征部分payload会进行URL编码可解码后查看完整注入语句请求规律参数数值有序递增/递减为逐位暴力猜解特征2.5 优缺点总结优点执行速度快、流量消耗低、成功率高缺点目标站点必须存在真假页面差异无差异则无法使用三、SQL时间盲注重点3.1 核心原理当页面无任何布尔响应差异时通过延时函数人为制造响应时间差判断结果。若SQL语句为真执行延时函数数据包响应时长显著增加语句为假页面正常快速响应通过流量的响应时间推导数据。3.2 核心延时函数CTF主流sleep(n)通用延时函数执行休眠n秒MySQL核心函数benchmark()通过高频运算制造延时适配部分过滤sleep的场景3.3 经典Payload模板1. 基础延时测试?id1 and sleep(3)正常响应延时3秒2. 条件延时猜解?id1 and if(ascii(substr(database(),1,1))115,sleep(3),1)逻辑判断第一位字符ASCII为115则延时3秒否则正常响应3.4 流量包核心特征流量分析必考时间特征流量数据包响应时间两极分化固定出现3s/5s等固定延时请求参数特征请求参数携带sleep、if、benchmark等关键字无内容差异所有数据包响应内容、状态码完全一致仅响应时长不同请求节奏请求间隔规律受延时函数控制节奏稳定3.5 优缺点总结优点适配性极强无页面回显、无布尔差异的场景均可使用缺点注入速度慢、流量耗时久容易被WAF防火墙拦截四、布尔注入与时间盲注流量特征对比高频考点对比维度布尔盲注时间盲注判断依据页面响应内容/状态差异数据包响应时间差异核心函数substr、ascii、lengthif、sleep、benchmark流量速度快无额外延时慢固定延时消耗时间流量辨识度看响应内容、返回结果看数据包时间戳差值适用场景页面存在真假返回差异页面无任何返回差异五、CTF流量分析解题通用步骤5.1 流量预处理打开pcap流量包筛选HTTP协议流量过滤无效数据包提取所有GET/POST请求记录。5.2 注入类型判定请求含sleep/if、响应时间差异大 → 时间盲注请求含ascii/substr/length、响应内容有对错差异 → 布尔盲注5.3 数据还原思路梳理猜解顺序先数据库名→再表名→再字段→最后数据提取所有成功请求的ASCII字符按位置排序拼接解码特殊字符最终还原Flag或目标数据六、常见绕过与流量伪装考点关键字编码绕过sleep、and 等关键词URL编码、十六进制编码流量中需解码识别空格绕过用/**/、 替换空格破坏常规payload格式需识别变形注入语句延时变形使用benchmark替代sleep规避基础防火墙拦截七、核心知识点总结1. 布尔盲注靠内容差异判断速度快、依赖页面回显特征2. 时间盲注靠时间差异判断适配广、速度慢、特征极强3. 流量分析核心从数据包中抓取payload、区分响应特征、还原逐位猜解的字符序列4. 两类盲注均为逐位ASCII暴力猜解是CTF流量分析Web题型的核心解题逻辑。
