【笔记】网易微专业-Web安全工程师-04.WEB安全实战-8.SQL盲注

1. 打开phpStudy或xampp，运行Apach和MySQL；

2. 浏览器进入DVWA主界面，在左侧栏选择DVWA Security安全等级为Low，然后进入SQL Injection(blind)；

我们发现当我们输入ID后，只返回告诉我们该用户存不存在。如果我们输入1‘ and ‘1024‘=‘1024，提示存在，因为‘1024‘=‘1024‘为真，如果是1‘ and ‘1024‘=‘1025，则提示不存在。

利用上述的方法，我们可以尝试获得数据库名的长度，输入：

1‘ and length(database())=1 #  提示不存在

1‘ and length(database())=2 #  提示不存在

1‘ and length(database())=3 #  提示不存在

1‘ and length(database())=4 #  提示存在

这样我们就知道数据库名的长度为4，接下去就是一个个猜测数据库名，以第一个字符为例，输入：

1’ and ascii(substr(databse(),1,1))>97 # 第一个字符的ascii值大于97（即小写a）

提示存在，说明第一个字符ascii是大于a的，我们采用二分法逐一缩小范围，最终获得第一个字符为小写d，采用同样的方法，能把4个字符都试出来：dvwa。

采用这样的思路，我们能像上一节一样获得字段名，表明，数据库名，用户，密码等信息，但是我们发现相比上一节，盲注需要的劳动力更大，更繁琐，因此sqlmap是解放劳动力的神器。

除了以上这种思路，我们还有另外一种方法，就是延迟注入，即当条件为真时，延时返回：

1’ and if(length(database())=4,sleep(5),1) #，报文延迟，说明if条件为真，数据库名的长度为4个字符；

3. 关于medium，high和impossible等级的SQL盲注，思路跟上一节差不多，这里就不再赘述了。

【笔记】网易微专业-Web安全工程师-04.WEB安全实战-8.SQL盲注

标签：技术分享   ssi   apach   应用   劳动力   存在   database   因此   str