DVWA靶场第九关:SQL注⼊(盲注)(SQL Injection (Blind))

最新推荐文章于 2025-06-04 09:18:23 发布
最新推荐文章于 2025-06-04 09:18:23 发布
阅读量957 收藏 10
点赞数 6
CC 4.0 BY-SA版权
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55270891/article/details/145759275

文章目录


SQL盲注与⼀般注⼊的区别在于⼀般的注⼊攻击者可以直接从⻚⾯上看到注⼊语句的执⾏结果,⽽盲注
时攻击者通常是⽆法从显示 ⻚⾯上获取执⾏的结果,甚⾄连注⼊语句是否执⾏都⽆法得知。

难度(low)

审计代码:
看代码可以发现返回的结果是两种,⼀个是User ID exists in the database,⼀种是User ID is
MISSING from the database
开始操作:
输⼊1显示存在
在这里插入图片描述

输⼊1 and 1 =1 和1 and 1 = 2均显示存在
输⼊1’ and 1 =1#显示存在(这三种都显示存在)
存在字符型的盲注
然后猜解数据库名:输⼊1’ and length(database())=4 #,显示存在:说明⻓度为4
在这里插入图片描述

难度(medium)
<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $exists = false;

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
            try {
                $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors
            } catch (Exception $e) {
                print "There was an error.";
                exit;
            }

            $exists = false;
            if ($result !== false) {
                try {
                    $exists = (mysqli_num_rows( $result ) > 0); // The '@' character suppresses errors
                } catch(Exception $e) {
                    $exists = false;
                }
            }
            
            break;
        case SQLITE:
            global $sqlite_db_connection;
            
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
            try {
                $results = $sqlite_db_connection->query($query);
                $row = $results->fetchArray();
                $exists = $row !== false;
            } catch(Exception $e) {
                $exists = false;
            }
            break;
    }

    if ($exists) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    } else {
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }
}

?>

可以看到,Medium级别的代码利⽤mysql_real_escape_string函数对特殊符号
\x00,\n,\r,,’
,\x1a进⾏转义,同时前端⻚⾯设置了下拉选择表单,希望以此来控制⽤户的输⼊。
可以通过过抓包来实现sql盲注
在这里插入图片描述

在这里插入图片描述

难度(high)

审计代码

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];
    $exists = false;

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            try {
                $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors
            } catch (Exception $e) {
                $result = false;
            }

            $exists = false;
            if ($result !== false) {
                // Get results
                try {
                    $exists = (mysqli_num_rows( $result ) > 0); // The '@' character suppresses errors
                } catch(Exception $e) {
                    $exists = false;
                }
            }

            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            try {
                $results = $sqlite_db_connection->query($query);
                $row = $results->fetchArray();
                $exists = $row !== false;
            } catch(Exception $e) {
                $exists = false;
            }

            break;
    }

    if ($exists) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }
}

?>

可以看到,High级别的代码利⽤cookie传递参数id,当SQL查询结果为空时,会执⾏函数
sleep(seconds),⽬的是为了扰乱基于时间的盲注。同时在 SQL查询语句中添加了LIMIT 1,希望以此控
制只输出⼀个结果。
漏洞利⽤:
虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。但由于服务器端执⾏sleep函数,会使得基于时间
盲注的准确性受到影响,这⾥我们只演示基于布尔的盲注:
抓包将参数id改为1’ and length(database())=4 #,显示存在,说明数据库名的⻓度为4个字
符;
在这里插入图片描述
在这里插入图片描述

DVWA-sql
Darklord.W
04-09 949
sql低中高步骤截图及说明 低等级: 判断是否存在入,入是字符型还是数字型 猜解数据库 库名长度为4 猜数据库dvwa substr() 函数返回字符串的一部分 substr(string,start,length) 猜数据库中表名 可得表个数为2 猜表的长度 第一个为9,第二个为5 猜表名 1' and ascii(substr(...
Kali渗透测试之DVWA系列(四)——使用Burp Suite进行SQL InjectionBlind)(SQL,包括脚本)
weixin_45116657的博客
08-25 6194
目录: 一、SQL SQLSQL入的区别; SQL的过程; 二、实验环境 三、实验过程 基于布尔值的; 基于时间的; 一、SQL简介 1、SQLSQL InjectionBlind),即SQL,目标只会回复是或不是,没有详细内容; 入:可以查看详细的内容 2、手工思路: 手工的过程,就像你和机器人聊天一样,这个机器人知道的...
dvwa8——SQL Injection(Blind)
最新发布
2403_88102829的博客
06-04 460
由题目得这一写。
DVWASQL入(
天空之蓝的博客
11-17 4653
SQL InjectionBlind),即SQL,与一般入的区别在于,一般的入攻击者可以直接从页面上看到入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连入语句是否执行都无从得知,因此的难度要比一般入高。目前网络上现存的SQL入漏洞大多是SQL。手工的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。
DVWA------SQL Injection (Blind)(SQL
m0_65712192的博客
12-09 3936
DVWA------SQL Injection (Blind)(SQL
DVWA——SQL(全等级)
@一只躺平的猪@的博客
07-13 6561
SQL与一般入的区别在于:一般的入攻击者可以直接从页面上看到入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连入语句是否执行都无从得知。一般有两种方式:布尔型和时间型。还有一种是报错入,本章主要介绍布尔。布尔型是根据页面是否正确显示来判断我们构造的语句是否正确执行时间型则是根据页面加载时间是否变化来判断的。SQL入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(
DVWAsql入——
Williamanddog的博客
12-22 3581
DVWA
DVWA靶场】Web安全之(布尔值/延时型)SQL(超详细教程)
weixin_60838266的博客
07-25 1715
SQL入是一种常见的网络安全漏洞,通过利用网站对用户输入数据的不完善检查和过滤,攻击者可以向数据库服务器发送恶意的SQL查询,从而获取敏感信息或者对数据库进行破坏。在本文中,通过Kali Linux对DVWASQL Injection模块展开了实验,并使用手工和burpsuite工具针对Low、Medium和High等级进行了布尔值/延时型的SQL测试
DVWA靶场-SQL Injection (Blind)SQL
mlws1900的博客
03-19 1761
直接使用报错:' union select 1,count(*),concat('/',(select @@datadir),'/',floor(rand(0)*2))a from information_schema.columns group by a--+,与一般入的区别在于,一般的入攻击者可以直接从页面上看到入语句的执行结果,而时攻击者通常是无法从显示页面上获取执行结果,甚至连入语句是否执行都无从得知,因此的难度要比一般入高。length:正整数,指定将从左边返回的字符数。
DVWA--SQL(SQL Injection(Blind))
箭雨镜屋
07-11 3941
LOW 通步骤 代码分析 MEDIUM 通步骤 代码分析 HIGH 通步骤 代码分析 IMPOSSIBLE 代码分析
DVWA】--- 八、sql(SQL Injection Blind)
qq_43168364的博客
05-31 887
SQL Injection Blind 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 入点在输入框中,当输入正确时回显如下图 输入错误时的回显 根据回显不同进行布尔,接下来判断入类型 这里是字符型入点字符型入点 判断库名长度,命令:1' and length(database())=4 # 判断库名,命令:1’ and ascii(substr(database(),x,1))=100 #让x的值递增可以遍
DVWA-SQL脚本(全)
10-04
DVWA SQL,Low,Medium,High 三个级别的bool脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWA下的SQL Injection(Blind)
07-25
DVWA靶场SQL
Tangyoo的博客
07-03 1582
SQL入是指攻击者通过在Web表单输入字段、URL参数、HTTP头部等位置插入恶意的SQL代码,从而欺骗服务器执行非法的数据库操作。
DVWA-SQL
HoYim
03-05 650
基于布尔的 判断是否存在入,入是字符型还是数字型 输入1’and ‘1’=‘1,判断条件正确 输入1’ and ‘1’=‘2,判断条件错误 由此判断存在字符型入 2.猜解当前数据库名 猜数据库名的长度 输入1’ and length(database())=4# 确定长度为4 然后猜数据库名字,可用二分法节省时间 输入1’ and ascii(substr(databse(),0...
dvwaSQL
ANDTM的博客
05-30 1320
SQL入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQLSQL入的区别就是它不会有完整的回显,这里分为两种,一种是布尔,另一种是时间
dvwa-sql
AI_SumSky的博客
11-27 4822
sql low级别 先提交个参数,发现执行成功就是回显时只是说这个id存在数据库,没有回显出id具体信息,怪不得叫。 分析源码没有对所提交参数id做任何处理就直接执行了,只是回显的时候被隐藏了。 其实也可以通过ascaii码来一个一个字符弄出来,输入1’ and length(database())=1#,显示User ID is MISSING from the database. 输入1’ and length(database())=2#,显示User ID is MISSING from
Blind SQL Injection on DVWA(Medium Level)
312小公举的专栏
05-15 1414
Vulnerability: SQL Injection (Blind)与前面的Vulnerability: SQL Injection这两个页面的差别就在于有没有有用的错误信息或者我们已经习惯的反馈内容。 本文的终极任务是获得user和password。 1.简单的输入测试 输入2得到: 输入2 or 1=1得到: 输入 2' or '1'='1得到: 以上说明了 $id = m
DVWA-SQL Injection(Blind)
tycyj的博客
01-24 243
LOW 1.判断是否存在入 输入1 显示用户存在 输入1’ and 1 = 1 – ’ 显示用户存在 输入1‘ and 1 = 2 – ’ 显示用户不存在,说明存在字符型的SQL。 2.猜解SQL查询语句中的字段数 输入1’ or 1 = 1 order by 1 – ’ 显示不存在 输入1’ or 1 = 1 order by 2 – ’ 显示存在 输入1’ or 1 = 1 order by 3 – ’ 显示不存在,说明该SQL查询语句中只有2个字段 3.获取当前数据库 输入1’ and
dvwa sql injection (blind)
03-16
DVWA SQL入()是一种攻击技术,利用应用程序中的漏洞,通过入恶意代码来获取敏感数据或者控制应用程序。在中,攻击者无法直接获取数据库中的数据,而是通过不断尝试不同的入语句,观察应用程序的反应来推断出数据库中的数据。这种攻击技术需要一定的技术水平和耐心,但是一旦攻击成功,将会对应用程序和用户造成严重的损失。因此,开发人员和管理员需要采取措施来保护应用程序,避免SQL入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蜡笔小鑫️

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值