sql盲注

環(huán)境

• windows 10
• DVWA靶場(chǎng)，等級(jí) low，Get型 / 單引號(hào)盲注

如果不巧碰到的存在注入的站點(diǎn)，只能盲注，因此只能逐個(gè)猜解出，數(shù)據(jù)庫名、表名、字段名和字段值
而我們提取目標(biāo)在 dvwa 數(shù)據(jù)庫中的 users 表下的 password 的值
出了一般來說，我們爆破的”庫名~字段名都是26個(gè)英文字母的組合
而下面的密碼是經(jīng)過了 cmd5 加密的，一共有32位

這時(shí)候就需要借助 Burpsuite 內(nèi)的 Intruder 模塊
構(gòu)建適合猜解 cmd5 的 payload 組合

一、確定密碼的長(zhǎng)度

選擇 Battering ram 的攻擊類型，選中需要爆破的參數(shù)位置

判斷字段值的長(zhǎng)度

假設(shè)我們不知道有多少位，因此 payload 我選擇從1~99

選擇payload

結(jié)果中可以看出，密碼長(zhǎng)度是32位的

得到密碼位數(shù)

二、爆破出 password 的字段值

我們大膽猜測(cè)，密碼是 cmd5 的格式
因此選擇 cluster bomb 攻擊類型，因?yàn)橛袃蓚€(gè)參數(shù)的位置需要爆破

爆破出password字段內(nèi)的值

第一個(gè)位置對(duì)應(yīng)的返回字符串的第幾位

password_payload1

第二個(gè)對(duì)應(yīng)就是猜測(cè)“字典”了
因?yàn)?cmd5 是由 a~z 和 0~9 組成的
盲注的語句，又只能一位一位去猜測(cè)，一次請(qǐng)求只能猜解出一個(gè)

password_payload2

最終得到的結(jié)果如下圖

可以看到，無法按照 payload1 請(qǐng)求順序排列出 cmd5 值

應(yīng)該是 payload2 既有字母，也有數(shù)字導(dǎo)致的

這里可以自己寫腳本來對(duì)結(jié)果進(jìn)行排序（還在研究中... ...）

爆破出密碼的cmd5值

寫在最后

這次的練習(xí)，暴露出自己對(duì)于 Burpsuite 的 Iturder 模塊的生疏
但是通過查詢資料和求助大佬得知
盲注在實(shí)戰(zhàn)中，往往要采用 Bool 等語句，向服務(wù)器多次發(fā)起請(qǐng)求

容易被 waf 識(shí)別，ban ip地址（有自己的 ip 代理池另說）
所以，還有更好的方案來應(yīng)對(duì)盲注

• dnslog 注入

• windows下的 UAC 路徑

那就是下一個(gè)故事了 XD