sql注入
low级别
万能sql语句试一试1’ or '1=1,发现遍历出了全部用户信息
分析源码发现该后台对传入的sql语句没有任何限制和过滤就直接执行,确认存在sql注入漏洞就可以开始摸数据库信息了,或者用工具sqlmap直接莽就完事了
用order by测试字段为2,这是为了后面用union方法,这个方法相关联 的两个查询语句查询参数个数必须相等
由源码函数可知该数据库是mysql可以用级联的方法套数据库信息,1’ union select database(),user()#查看当前数据库和用户为dvwa和root@localhost
由于MySQL存在一个information_schema数据库用来存数据库里全部的表信息里面有表schemata,tables和columns,分别查看数据库,表和列的信息,所以可以利用1’ union select table_schema,table_name from information_schema.tables where table_schema=‘dvwa’ #查看dvwa数据库里有什么表,发现有个users表很显眼,查看下表的属性.
利用1’ union select column_name,1 from information_schema.columns where table_name=‘users’ #发现有一个user和password列
利用s’ union select user,password from users #立即查看内容,发现密码都是被MD5加密过的不过这种东西这么短上网找个脚本就破解了
medium级别
发现是以数字post表单方式提交,抓个包看看发现提交的是数字,可能是数字型注入
分析页面发现有个 mysqli_real_escape_string对id参数做了特殊字符转义如单双引号,我们只需要不用加”和‘符号就行
1 union select user,password from users 去掉特殊符号尝试注入,发现还是能成功注入的
high级别
发现是条链接,打开后输入注入语句1’ union select user,password from users#,发现直接显示信息,那不是和low级别一样吗?
分析页面源码看看,发现还真差不多,就是多了个页面跳转通过$_session获取参数id。
总结
漏洞原理:没有对用户输入的语句做过滤和转义,对sql执行语句没做预处理和参数化
方法:通过sqlmap工具也可以手工利用万能sql语句1’ or '1=1尝试注入,在一步一步获取数据库信息
如果被拦截可以用&&,||代替and和or,<>隔离敏感语句
防御:
1.通过waf sql限制策略
2.预处理+参数化
信息
如果被拦截可以用&&,||代替and和or,<>隔离敏感语句
防御:
1.通过waf sql限制策略
2.预处理+参数化
3.对特殊字符做转义,限制