DVWA下的SQL Injection(Blind)

最新推荐文章于 2024-04-08 14:44:20 发布
最新推荐文章于 2024-04-08 14:44:20 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: DVWA 文章标签: virtualbox xampp sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NWC2017/article/details/76088094
版权
DVWA下的盲注
盲注与一般sql注入的区别是,一般的注入可以从页面上看到执行结果,而盲注无法获得明显结果,一般只是如下两种:




一 Low级别


可以使用两种方法:
1 利用sqlmap
首先,kali自带的就有sqlmap,启动Burpsuite,在SQL injection(Blind)中输入如下,然后查看Burpsuite中抓到的URL和Cookie


(1)启动sqlmap,在上图中复制URL和cookie,在sqlmap中输入:sqlmap –u ‘复制的URL’  --cookie=’复制的cookie’ ,可以查看数据库类型。




可看出注入点可能是id,数据库是mysql。
【注】sqlmap命令:http://blog.csdn.net/keepxp/article/details/52052070
(1)--current-db:获得当前数据库名
(2)--current-db --tables –D dvwa:使用dvwa库得到表名
  -D表示指定数据库名称
(3)-T guestbook --columns:得到guestbook的表结构
  -T表示指定列出字段的的表;--columns表示指定列出字段
(4)-T users --dump:得到users表的内容,在sqlmap询问时候破解密码时,选择是,sqlmap会使用自己的字典来破解密码,
最低0.47元/天 解锁文章
NWC2017
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWA——SQL盲注(全等级)
@一只躺平的猪@的博客
07-13 5430
SQL盲注与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知。一般有两种方式:布尔型和时间型。还有一种是报错注入,本章主要介绍布尔盲注。布尔型是根据页面是否正确显示来判断我们构造的语句是否正确执行时间型则是根据页面加载时间是否变化来判断的。SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(
DVWA盲注详解
qq_45788625的博客
04-18 6507
low等级DVWA盲注详解
DVWA】20. SQL Injection (Blind)SQL注入盲注(全等级Sqlmap版)
最新发布
Zichel77的博客
04-08 1334
盲注,有两种主要类型,包括布尔盲注和时间盲注。
DVWA平台的使用Vulnerability: SQL Injection Blind手工注入
Senimo
03-22 1199
DVWA平台的使用Vulnerability: SQL Injection Blind手工注入LowMediumHighImpossible Low 此安全级别完全脆弱,根本没有任何安全措施。它的用途是作为网络应用程序漏洞如何通过不良编码实践表现出来的示例,并用作教授或学习基本利用技术的平台。 首先判断原语句的闭合方式,当输入1'时,提示该用户不在数据库中: 可判断原SQL语句闭合方式为id=...
7、DVWA——SQL盲注
qq_55202378的博客
09-13 470
dvwa SQL盲注
BurpSuit官方实验室之SQL注入
tpaer的博客
11-13 5200
BurpSuit官方实验室靶场-SQL注入通关记录。
DVWA下的SQL注入
07-25
SQL
dvwa靶场通关之sql injection
07-19
dvwa靶场通关之sql injection
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
DVWA靶场通关(SQL Injection(Blind))
m0_56010012的博客
03-21 2069
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 LOW 核心代码 SQL Injection (Blind) Source vulnerabilities/sqli_blind/source/low.php <?php if( isset( $
DVWA的使用4–SQL Injection(Blind)(SQL盲注)
StoriesWine
03-27 2788
DVWA的使用4–SQL Injection(Blind)(SQL盲注) SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。 1).low级别 源码: 对参数id没有做任何检查、过滤,存在...
DVWASQL Injection(Blind)
谢公子的博客
08-05 2733
SQL Injection(Blind) SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 手工盲注思路 手工盲注的过程,就像你与一个机器人聊天,...
Blind SQL injection sample
kezhen的专栏
04-06 2170
WebGoat中的Blind Numeric SQL Injection 和 Blind String SQL Injection 两个例子
DVWAsql注入天书中不报错问题的解决
qq_45100746的博客
05-20 1952
在准备进行SQL注入练习时发现页面中出现以下情形 输入一个‘(单引号),也无任何回显(报错)。此时已将php.ini中的magic_quotes_gpc 改为Off。左想右想,想不明白。上网搜索,网络上说magic_quotes_gpc动态关闭无效,看了之后,也没操作明白。这个问题就被搁置了······(捂脸) 在今天准备练习天书Less-1的时候,也出现了同样的问题(输入‘,无回显)。一想肯定跟DVMA中的问题一样。 所以!!!解决方法就是!! 1、先明确你当前的php运行环境是哪个版本
Kali渗透测试之DVWA系列(三)——SQL InjectionSQL注入
weixin_45116657的博客
08-22 2185
目录: 一、SQL注入简介: SQL注入漏洞原理 SQL注入类型 SQL注入过程 二、实验环境 三、实验步骤 安全级别:LOW 安全级别:Medium 安全级别:High 安全级别:Impossible 一、SQL注入简介 1、SQL注入漏洞原理: SQL注入漏洞原理:把SQL命令插入到Web表单提交,或输入域名,或网页提交的查询字符串中,从而达到欺骗服务器执行恶意的SQL命令。(即,将...
DVWASQL Injection(Blind)
baynk的博客
10-29 1196
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ SQL ...
Blind SQL Injection
kezhen的专栏
03-24 4274
https://www.owasp.org/index.php/Blind_SQL_Injection Description Blind SQL (Structured Query Language) injection is a type of SQL Injection attack that asks the database true or false questions a
dvwa sql injection (blind)
03-16
DVWA SQL注入(盲注)是一种攻击技术,利用应用程序中的漏洞,通过注入恶意代码来获取敏感数据或者控制应用程序。在盲注中,攻击者无法直接获取数据库中的数据,而是通过不断尝试不同的注入语句,观察应用程序的反应...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值