SQL Injection2(Blind)
前言
本篇文章主要来对SQL注入的盲注进行一个探讨学习,主要还是已dvwa靶场来进行实践
思路
-
判断数字型注入还是字符型注入
-
获取数据库名(猜取数据库名长度->猜取数据库具体字符)
-
获取表名(猜取表的张数->猜取表名的长度->猜取表名的具体字符)
-
猜取字段名(猜取字段的数量->猜取具体字段的长度->采取具体字段的具体字符)
-
猜取具体数据(猜取数据长度->猜取数据具体内容)
依据情况使用基于布尔的注入或基于时间的注入
dvwa练习
LOW:
这里讲布尔注入和时间注入都进行尝试下
布尔注入(主要看返回的正确与否,所以都是用and连接):
首先看图可以输入1后不再像前面SQL注入时返回用户名了,现在我们还是来测试下,是数字型注入还是字符型注入
先测试字符型注入
可以看到字符型注入是存在的
但测试数字型注入的时候有点蒙蔽了,因为我认为测试结果应该是返回User ID is MISSING from database.但返回的却是User ID is exists from database
确实这里想的不是很明白…理论上输入进去的东西应该查不出东西的啊,我有进入SQL注入试了下
发现在字符型注入下输入的数字型注入依旧成功返回???好吧搜索了下,然后找到了下面的解释.
这是sql的语法,因为没有加引号闭合,所以输入都被当做查询id,不会执行命令,这样说吧你输入1qwertyuiop跟输入1运行结果是一样的,
强制类型转换
测试了下,id这个字段好像是比较特殊
可以看到基本胡乱输入的字符串也被接受查询出来了,只要首位在id中就能查出来
别的字段是不行的,可以看到下面用name字段来测试没有成功
搜索的时候还发现了一篇不错的blog讲了利用SQL注入来下载和上传文件的方法
先继续往下吧,判断出是字符型注入后我们按照套路应该尝试下获取数据库名字,但没有返回的字段所以我们只有不断的猜测,通过返回的正误来判断猜测的正确与否,这也就是所谓的布尔注入
首先我们先来猜测名字的字符串长度,这时候发现SQL语法还是真的蛮强大,也有很多自带函数,比如这里用到的length
好的,上面的1测试出来不对,我们继续向下进行测试,当然我觉得也可以用大于小于符号先判断下范围,要是那种名字超长的库,这样逐渐增加就太慢了特别是手工注入。OK,测试到4的时候返回ID存在,确定库名长为4
下面我们就要开始猜解字段名了,幸好只有4位不算长…
这里需要通过ascii码来进行比较,当然我测试了下不用ascii码直接用字符来比较也OK
其次这里需要用到substr来一个一个提取字符