DVWA靶场-SQL Injection (Blind)SQL注入盲注

最新推荐文章于 2024-09-29 23:47:53 发布
最新推荐文章于 2024-09-29 23:47:53 发布
阅读量1.5k 收藏 31
点赞数 20
分类专栏: 网络安全 dvwa 文章标签: sql 数据库 安全 web安全 网络安全 php dvwa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29977871/article/details/136846625
版权
本文详细介绍了SQL注入中的盲注类型(基于布尔值、时间、报错),并通过示例展示了如何利用if()、left()等函数进行布尔值盲注,以及如何借助sleep()和benchmark()函数进行时间盲注。还探讨了PHP中防止SQL注入的不同级别措施,包括mysql_real_escape_string和PDO的使用。
摘要由CSDN通过智能技术生成

概念

SQL Injection(Blind),即SQL盲注;

注入:可以查看到详细内容;

盲注:目标只会回复是或不是,没有详细内容;

盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。

类型

基于布尔值的盲注;

基于时间的盲注;

基于报错的盲注;

基于布尔值的盲注

基于布尔型SQL盲注即在SQL注入过程中,应用程序仅仅返回True(页面)和False(页面)。 这时,我们无法根据应用程序的返回页面得到我们需要的数据库信息。但是可以通过构造逻辑判断(比较大小)来得到我们需要的信息。 

常用函数

if()
功能:条件判断。
语法格式:if(expr1,expr2,expr3):expr1为true则返回expr2,expr1为false则返回expr3。
注:仅MySQL支持if(expr1,expr2,expr3)。

left()
功能:截取具有指定长度的字符串的左边部分。
语法格式:left(str,length),如果str或length参数为NULL,则返回NULL值。
参数说明
str:要提取子串的字符串。
length:正整数,指定将从左边返回的字符数。length为0或为负,则LEFT返回一个空字符串
length大于str字符串的长度,则leftO返回整个str字符串。

length()
功能:返回字符串的长度,以字节为单位。
语法格式:length(str)

substr()、substring()
功能:从指定的位置开始,截取字符串指定长度的子串。
语法格式:substr(str,pos)或substr(str,pos,len),substring(str,pos)substring(str,pos,len)
参数说明
str:要提取子串的字符串。
pos:提取子串的开始位置
len:指定要提取的子串的长度

ascii()、ord()
功能:返回字符串最左边字符的ASCII码值
语法格式:ascii(str),ord(str)

cast()、convert()
功能:获取一个类型的值,并产生另一个类型的值。
>语法格式:cast(value as type),convert(value,type)

 基于时间的盲注

 

基于时间的SQL盲注又称延时注入,即使用具有延时功能的函数sleep、benchmark等,通过判断这些函数是否正常执行来获取数据库中的数据

sleep()
功能:让语句延退执行一段时间,执行成功后返回0。
语法格式:sleep(N),即延退执行N秒。

benchmark()
功能:让某语句执行一定的次数,执行成功后返回0。
语法格式:benchmark(coun,texpr),即让expr执行count次
注:仅MySQL支持该函数。

 基于报错的盲注

 

基于报错的SQL盲注是通过输入特定语句使页面报错,网页中则会输出相关错误信息,从而是我们得到想要的基本信息——数据库名、版本、用户名等 

直接使用报错:' union select 1,count(*),concat('/',(select @@datadir),'/',floor(rand(0)*2))a from information_schema.columns group by a--+

利用xpath函数—extractvalue报错:' and extractvalue(1,concat(0x7e,(select database()),0x73))--+

利用xpath函数—updatexml报错:' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

利用数据重复性报错:' union select 1,2,3 from (select name_const(version(),1),name_const(version(),1))x--+

 low等级
<?php

if( isset( $_GET[ 'Submit' ] ) ) {
	// Get input
	$id = $_GET[ 'id' ];
	$exists = false;

	switch ($_DVWA['SQLI_DB']) {
		case MYSQL:
			// Check database
			$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
			$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors

			$exists = false;
			if ($result !== false) {
				try {
					$exists = (mysqli_num_rows( $result ) > 0);
				} catch(Exception $e) {
					$exists = false;
				}
			}
			((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
			break;
		case SQLITE:
			global $sqlite_db_connection;

			$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
			try {
				$results = $sqlite_db_connection->query($query);
				$row = $results->fetchArray();
				$exists = $row !== false;
			} catch(Exception $e) {
				$exists = false;
			}

			break;
	}

	if ($exists) {
		// Feedback for end user
		$html .= '<pre>User ID exists in the database.</pre>';
	} else {
		// User wasn't found, so the page wasn't!
		header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

		// Feedback for end user
		$html .= '<pre>User ID is MISSING from the database.</pre>';
	}

}

?>

当sql语句执行成功则显示以下这段话

User ID exists in the database.

当sql语句执行失败则显示以下这段话

User ID is MISSING from the database. 

通过回显可以判读是否注入成功

medium等级
<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
	// Get input
	$id = $_POST[ 'id' ];
	$exists = false;

	switch ($_DVWA['SQLI_DB']) {
		case MYSQL:
			$id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

			// Check database
			$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
			$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors

			$exists = false;
			if ($result !== false) {
				try {
					$exists = (mysqli_num_rows( $result ) > 0); // The '@' character suppresses errors
				} catch(Exception $e) {
					$exists = false;
				}
			}
			
			break;
		case SQLITE:
			global $sqlite_db_connection;
			
			$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
			try {
				$results = $sqlite_db_connection->query($query);
				$row = $results->fetchArray();
				$exists = $row !== false;
			} catch(Exception $e) {
				$exists = false;
			}
			break;
	}

	if ($exists) {
		// Feedback for end user
		$html .= '<pre>User ID exists in the database.</pre>';
	} else {
		// Feedback for end user
		$html .= '<pre>User ID is MISSING from the database.</pre>';
	}
}

?>

利用mysql_real_escape_string函数对特殊符号

\x00,\n,\r,\,’,”,\x1a进行转义

前端使用下拉式,控制用户输入

high等级
<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
	// Get input
	$id = $_COOKIE[ 'id' ];
	$exists = false;

	switch ($_DVWA['SQLI_DB']) {
		case MYSQL:
			// Check database
			$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
			$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors

			$exists = false;
			if ($result !== false) {
				// Get results
				try {
					$exists = (mysqli_num_rows( $result ) > 0); // The '@' character suppresses errors
				} catch(Exception $e) {
					$exists = false;
				}
			}

			((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
			break;
		case SQLITE:
			global $sqlite_db_connection;

			$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
			try {
				$results = $sqlite_db_connection->query($query);
				$row = $results->fetchArray();
				$exists = $row !== false;
			} catch(Exception $e) {
				$exists = false;
			}

			break;
	}

	if ($exists) {
		// Feedback for end user
		$html .= '<pre>User ID exists in the database.</pre>';
	}
	else {
		// Might sleep a random amount
		if( rand( 0, 5 ) == 3 ) {
			sleep( rand( 2, 4 ) );
		}

		// User wasn't found, so the page wasn't!
		header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

		// Feedback for end user
		$html .= '<pre>User ID is MISSING from the database.</pre>';
	}
}

?>

利用cookie传递参数id,当SQL查询结果为空时,会执行函数sleep(seconds),目的是为了扰乱基于时间的盲注。

同时在 SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果。但是我们可以通过#将其注释掉。

但由于服务器端执行sleep函数,会使得基于时间盲注的准确性受到影响,这里我们只能使用基于布尔的盲注。

impossible等级
<?php

if( isset( $_GET[ 'Submit' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
	$exists = false;

	// Get input
	$id = $_GET[ 'id' ];

	// Was a number entered?
	if(is_numeric( $id )) {
		$id = intval ($id);
		switch ($_DVWA['SQLI_DB']) {
			case MYSQL:
				// Check the database
				$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
				$data->bindParam( ':id', $id, PDO::PARAM_INT );
				$data->execute();

				$exists = $data->rowCount();
				break;
			case SQLITE:
				global $sqlite_db_connection;

				$stmt = $sqlite_db_connection->prepare('SELECT COUNT(first_name) AS numrows FROM users WHERE user_id = :id LIMIT 1;' );
				$stmt->bindValue(':id',$id,SQLITE3_INTEGER);
				$result = $stmt->execute();
				$result->finalize();
				if ($result !== false) {
					// There is no way to get the number of rows returned
					// This checks the number of columns (not rows) just
					// as a precaution, but it won't stop someone dumping
					// multiple rows and viewing them one at a time.

					$num_columns = $result->numColumns();
					if ($num_columns == 1) {
						$row = $result->fetchArray();

						$numrows = $row[ 'numrows' ];
						$exists = ($numrows == 1);
					}
				}
				break;
		}

	}

	// Get results
	if ($exists) {
		// Feedback for end user
		$html .= '<pre>User ID exists in the database.</pre>';
	} else {
		// User wasn't found, so the page wasn't!
		header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

		// Feedback for end user
		$html .= '<pre>User ID is MISSING from the database.</pre>';
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入;

同时只有返回的查询结果数量为1时,才会输出; 

mlws1900
关注
专栏目录
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWA——SQL Injection (Blind)
Fly_Mojito的博客
02-07 237
DVWA——SQL Injection (Blind)
DVWASQL盲注
最新发布
Hacker_feng的博客
09-29 724
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。
DVWA下的SQL Injection(Blind)
07-25
盲注
DVWASQL注入盲注
天空之蓝的博客
11-17 3452
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。
DVWA------SQL Injection (Blind)(SQL盲注
m0_65712192的博客
12-09 3002
DVWA------SQL Injection (Blind)(SQL盲注
DVWA-SQL Injection(Blind盲注
Cwillchris的博客
10-28 969
实验环境: DVWA靶机:172.16.12.10 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: SQLInjection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入 攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注盲注分为基于布尔的盲注、基于时间的盲注以及基于报错.
DVWA--SQLInjection(blind)
weixin_45038413的博客
05-09 489
Low等级 确定注入poc 1.手工注入(布尔型) 确定字符串长度 确定字符串内容 (二分法,步骤省略) 得到: substr(database(),1,1)=’d’ substr(database(),2,1)=’v’ substr(database(),3,1)=’w’ substr(database(),4,1)=’a’ database() =’dvwa’ 2.手工注入(延...
DVWA】--- 八、sql盲注(SQL Injection Blind)
qq_43168364的博客
05-31 794
SQL Injection Blind 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 注入点在输入框中,当输入正确时回显如下图 输入错误时的回显 根据回显不同进行布尔盲注,接下来判断注入类型 这里是字符型注入点字符型注入点 判断库名长度,命令:1' and length(database())=4 # 判断库名,命令:1’ and ascii(substr(database(),x,1))=100 #让x的值递增可以遍
基于dvwasql盲注(Blind)-低中高
滕财然的博客
11-15 2916
目录sql盲注sql注入的区别sql盲注过程dvwa-SQL Injection (Blind) low级别布尔盲注时间盲注dvwa-SQL Injection (Blind) Medium级别dvwa-SQL Injection (Blind) High级别 sql盲注sql注入的区别 盲注:目标只会回复是或不是,没有详细内容 注入:可以查看到详细内容 盲注分为:布尔盲注、时间盲注...
DVWA靶场Web安全之(布尔值/延时型)SQL盲注(超详细教程)
weixin_60838266的博客
07-25 1431
SQL注入是一种常见的网络安全漏洞,通过利用网站对用户输入数据的不完善检查和过滤,攻击者可以向数据库服务器发送恶意的SQL查询,从而获取敏感信息或者对数据库进行破坏。在本文中,通过Kali Linux对DVWASQL Injection模块展开了实验,并使用手工和burpsuite工具针对Low、Medium和High等级进行了布尔值/延时型的SQL盲注测试
DVWASQL Injection (Blind)
qq_39682037的博客
03-20 2226
盲注 盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入盲注一般分为布尔盲注和基于时间的盲注和报错的盲注。 Security Level: low 测试流程 输入 1 输入 1 and 1=1 输入1’ 输入 1’ and 1=1 输入 1’ and 1=2 输入1’ and length(database())=1 输入1’ and leng...
DVWA——SQL Injection(Blind)【详细的步骤实现(图解)包含多种盲注方法并且附上了payload】
weixin_46709219的博客
01-04 788
一)区别: SQL盲注与一般注入的区别在于一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 二)思想: 在盲注中,页面无论对错都只会以 “是” 或者 “不是”来对我们的SQL语句进行结果的反馈,因此我们需要构造payload去询问例如“数据库名字的第一个字母是不是a?”,通过问答的方式最终获取我们想要的数据。 三)盲注分为基于布尔盲注、基于
DVWA-SQL Injection(Blind)
tycyj的博客
01-24 203
LOW 1.判断是否存在注入 输入1 显示用户存在 输入1’ and 1 = 1 – ’ 显示用户存在 输入1‘ and 1 = 2 – ’ 显示用户不存在,说明存在字符型的SQL盲注。 2.猜解SQL查询语句中的字段数 输入1’ or 1 = 1 order by 1 – ’ 显示不存在 输入1’ or 1 = 1 order by 2 – ’ 显示存在 输入1’ or 1 = 1 order by 3 – ’ 显示不存在,说明该SQL查询语句中只有2个字段 3.获取当前数据库 输入1’ and
DVWA-SQL Injection (Blind)
qq_45751902的博客
04-25 864
目录简介sql盲注SQL盲注的类型安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible 简介 sql盲注 SQL Injection(Blind),即SQL盲注; 注入:可以查看到详细内容; 盲注:目标只会回复是或不是,没有详细内容; SQL盲注的类型 基于布尔值的盲注; 基于时间的盲注; 基于报错的盲注安全级别:Low 安全级别:Medium 安全级别:High 安全级别:Impossible ...
dvwasql injection(blind)
Alsn86的博客
01-27 889
dvwasql injection(blind) sql injection(blind)之low等级 1.判断出是字符型 2.看当前数据库名字长度1’ and length(database())=4;# 显示正确 所以数据库名长度为4 3.判断数据库名字为dvwa 1’ and substr(database(),1,1)=‘d’;# 判断出数据库名字第一个字符为’d’ 1’ and substr(database(),2,1)=‘d’;# 判断出数据库名字第一个字符为’v’ 1’ and
SQL Injection (Blind) Low
weixin_33785108的博客
12-03 156
SQL盲注分析 盲注较普通注入难度会有所增加,根据页面响应不同大概分为以下几种:布尔型盲注;时间盲注;报错注入 普通注入与盲注的对比: 普通注入: 盲注: 1.当执行注入攻击时服务器会响应来自数据库 ...
DVWASQL Injection(Blind)
谢公子的博客
08-05 2795
SQL Injection(Blind) SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 手工盲注思路 手工盲注的过程,就像你与一个机器人聊天,...
DVWA靶场练习八—SQL Injection (Blind)
afei001
05-25 374
SQL盲注介绍 一般的SQL注入在输入注入语句时都会返回执行该语句的结果。而SQL盲注就好比在做“判断题”,注入语句的执行结果不会 直接回显出来,而是显示“对”或者“不对”,“存在”或者“不存在”。 低级(Low Level) 方法一:纯手工猜解注入 1.探测注入点 afei 说明存在注入点,并且是SQL盲注。 2.猜解数据库长度 猜解一般使用二分法。 语法: 1' and length(database())>猜...
dvwa靶场sql盲注
08-15
靶场SQL盲注是指在DVWA(Damn Vulnerable Web Application)这个靶场中进行的SQL注入攻击。靶场中有一个名为dvwa数据库,我们可以通过一系列的注入语句来探测这个数据库中的表的数量和表名的长度。 首先,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值