代码审计——DVWA SQL Injection(SQL 注入)

最新推荐文章于 2024-05-18 16:14:38 发布
最新推荐文章于 2024-05-18 16:14:38 发布
阅读量373 收藏 1
点赞数
分类专栏: 代码审计 文章标签: php 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z1756227332/article/details/104790460
版权

Low等级代码

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
	//Get input
	$id = $_REQUEST[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

	mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

分析代码

变量ID接受传参值
变量query 构造SQL语句
变量result 执行SQL语句

通过构造的SQL语句发现 ‘$id’ 。是个字符串的类型 需要用 ’ 单引号来闭合,并且没有过滤。直接用SQLmap跑就行了

	// Get input
	$id = $_REQUEST[ 'id' ];
	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

Medium等级代码

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

分析代码
Medium等级中 是用POST方式进行传参
mysqli_real_escape_string()函数 是把 单引号 双引号 (反斜杠)和NULL 进行转义的 如 ’ => '\
这里的话是防止 运用 字符串类型 进行注入的。
定义的SQL语句中 $id 没有单引号也没有双引号 是个int类型的,这里并没有什么过滤只是有个mysqli_real_escape_string(),而且还是int类型的 防不住可以直接跑出来。
在这里插入图片描述

High等级代码

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
	// Get input
	$id = $_SESSION[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);		
}

?>

先抓个包看一下
第一此请求的是session-input.php文件
在这里插入图片描述
第二次请求的是/vulnerabilities/sqli/
在这里插入图片描述
分析代码
在High.php文件中变量id获取的是session中的id 值
在这里插入图片描述
通过抓包我们看到首先请求的是session-input.php文件 。分析一下session-input.php文件中的代码

<?php

define( 'DVWA_WEB_PAGE_TO_ROOT', '../../' );
require_once DVWA_WEB_PAGE_TO_ROOT . 'dvwa/includes/dvwaPage.inc.php';

dvwaPageStartup( array( 'authenticated', 'phpids' ) );

$page = dvwaPageNewGrab();
$page[ 'title' ] = 'SQL Injection Session Input' . $page[ 'title_separator' ].$page[ 'title' ];

if( isset( $_POST[ 'id' ] ) ) {
	$_SESSION[ 'id' ] =  $_POST[ 'id' ];
	//$page[ 'body' ] .= "Session ID set!<br /><br /><br />";
	$page[ 'body' ] .= "Session ID: {$_SESSION[ 'id' ]}<br /><br /><br />";
	$page[ 'body' ] .= "<script>window.opener.location.reload(true);</script>";
}

$page[ 'body' ] .= "
<form action=\"#\" method=\"POST\">
	<input type=\"text\" size=\"15\" name=\"id\">
	<input type=\"submit\" name=\"Submit\" value=\"Submit\">
</form>
<hr />
<br />

<button οnclick=\"self.close();\">Close</button>";

dvwaSourceHtmlEcho( $page );

?>

这里接受POST中的id值也就是第一个请求包中的id值。然后在把id值存到session中
在这里插入图片描述
high.php文件中 变量id的值是获取session【id】,然后把它带入到SQL语句中执行。
在这里插入图片描述
这里也没有过滤 非法字符 很明显是存在注入的。但是这个不能用sqlmap跑只能手工注入。
要跑这个数据包的话,会进行跳转 sqlmap无法获得返回值。
在这里插入图片描述

Impossible等级代码

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$id = $_GET[ 'id' ];

	// Was a number entered?
	if(is_numeric( $id )) {
		// Check the database
		$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
		$data->bindParam( ':id', $id, PDO::PARAM_INT );
		$data->execute();
		$row = $data->fetch();

		// Make sure only 1 result is returned
		if( $data->rowCount() == 1 ) {
			// Get values
			$first = $row[ 'first_name' ];
			$last  = $row[ 'last_name' ];

			// Feedback for end user
			$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
		}
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

分析代码
is_numeric() 函数用于检测变量是否为数字或数字字符串
is_numeric() 函数检测了传递过来的是不是数字类型 如果不是就为false,这里就杜绝了SQL注入。
在这里插入图片描述

霓虹灯啊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA下的SQL Injection(Blind)
07-25
盲注
DVWA——SQL注入
qq_62803993的博客
01-08 2440
可以看出,点击“here to change your ID”,页面自动跳转,防御了自动化的SQL注入,分析源码可以看到,对参数没有做防御,在sql查询语句中限制啦查询条数,可以通过burpsuit抓包,修改数据包实现绕过。1.在MYSQL5.0以上版本中存在自带数据库information_schema,他是一个存储所有数据库名,表明,列名的数据库,相当于可以通过查询此库获得相应信息。根据low关卡知道存在SQL注入,这里就不多演示,我们从爆数据库开始。确定显示的位置(SQL语句查询之后的回显位置)
DVWASQL注入代码审计
good good study
08-30 3648
目录 Low Medium High Impossible Low 前端包含了一个$html的变量,查看变量所在文件 如下,可见对传入的参数未做任何的过滤 所以存在字符串注入,输入1'直接报错 Medium 前端代码如下 $number_of_rows所在文件为medium.php中,select 标签根据查询的users表中的行数来决定下拉的数量 接着引用了$html变量,其所在位置也为medium.php 可见这里也没有做任何的过滤,只是相较于低级,这...
DVWA代码审计--SQL注入
余十步的博客
05-18 1216
此时如果比较操作符被过滤,上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了,需要注意的是分隔符不能为null,如果为null,则返回结果为null。通常含有这些函数substr(),mid(),limit(),的这些子句方法都需要使用到逗号,语法:concat_ws(separator, str1, str2, …使用greatest()、least():(前者返回最大值,后者返回最小值)同样是在使用盲注的时候,在使用二分查找的时候需要使用到比较操作符来进行查找,
PHP代码审计DVWASQL注入[SQL Injection]
weixin_54882883的博客
08-21 331
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
[网络安全] DVWASQL注入—Impossible level代码审计
热门推荐
等风来
04-26 1万+
使用 execute() 方法执行查询,使用 fetch() 方法获取查询结果中第一行的数据,并将其存储到 $row 数组中。然后判断 $data->rowCount() 的值是否为 1,确保只有一个结果被返回. 在 SQLite 中,使用全局变量 $sqlite_db_connection 获取 SQLite 数据库连接对象,并使用 prepare() 方法准备 SQL 查询语句,在其中使用占位符 :id 代替 id 参数。 使用 bindValue() 方法将 id 参数绑定到占位符上,指定参数类型
DVWA命令注入(Command Injection漏洞代码审计
Libra10913的博客
06-11 572
DVWA命令注入(Command Injection漏洞代码审计
DVWA-impossible代码审计
yuan_boss的博客
09-29 567
暴力破解的impossible级别,在代码语法上,主要使用了token校验防止CSRF攻击,并且对于一起sql语句都使用预编译的方式执行。在代码逻辑上添加了登录规则,失败登录次数,用户锁定规则。命令注入的impossible级别:在代码语法上,加入token校验。在逻辑上对数据进行消毒,然后借助程序来拼接有效IP,从而防止用户输入的非法数据被执行。
学习之sql注入漏洞网址的创建
06-06
首先,SQL注入SQL Injection)是指攻击者通过输入恶意的SQL代码,欺骗数据库系统执行非预期的操作,获取、修改、删除敏感数据,甚至控制整个数据库服务器。常见的SQL注入形式包括错误信息注入、时间盲注、联合查询...
软件安全实验2 SQL注入实验
最新发布
06-19
DVWA目前的版本共有十个漏洞模块,分别是Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的...
dvwa靶场通关之sql injection
07-19
dvwa靶场通关之sql injection
使用sqlmap+burpsuite进行中级sql注入
06-01
访问DVWA并尝试提交可能导致SQL注入的参数,如`sql-injection`页面的`id`参数。 3. **抓取请求**: 当在DVWA中触发SQL注入时,Burpsuite会捕获到相应的HTTP请求。选中这个请求,然后右键选择"Copy to file",保存...
[DVWA]利用SQL注入漏洞的方法
weixin_45942044的博客
11-22 1006
自学[DVWA]SQL注入漏洞的学习笔记
DVWA-WEB漏洞系列之SQL注入
woo233的博客
08-09 3345
用户输入数据为 1’ and 1=1#,这时SQL语句发生变化,在原有查询完成后会判断 1=1,如果判断正确则才会有输出[#作用是注释(移除)后续SQL语句]在用户输入中依次增加order by后面的数据,当在输入为 1’ order by 3#时网页出现报错,证明该数据库有2列/字段。攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。防御SQL注入:使用PDO,配合正确的过滤和sql语句就可避免SQL注入漏洞的产生。...
DVWA-SQL回显注入模块 包括代码审计
weixin_45715461的博客
06-01 520
DVWA-SQL回显注入模块 包括代码审计
owaspbwa-DVWA-SQL注入
baola的博客
08-09 1146
DVWA靶场的sql注入有三个难度等级,通过黑盒注入结合代码审计的形式做一下这个靶场
php代码审计学习之dvwa_sql
ailugong8410的博客
10-23 128
0x00   由于转了onenote行列,所以已经好久没有发表新的随笔了,但是想想还是非常有必要的,这几天开始学习php代码审计,所以先开始发这一些的随笔吧!   首先就先通过十大测试平台dvwa开始学习吧,先在这里带上参考的大牛链接,感谢分享   1.http://drops.wooyun.org/papers/483   2.http://www.lxway.com/8698...
代码审计——DVWA SQL Injection (Blind) SQL盲注
z1756227332的博客
03-12 267
Low等级代码 <?php if( isset( $_GET[ 'Submit' ] ) ) { // Get input $id = $_GET[ 'id' ]; // Check database $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; ...
命令注入
zwish的信安之路
08-26 1506
command_injecttion 参考文章:https://www.freebuf.com/column/146503.html Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞。 命令...
dvwa sql injection
03-16
DVWA (Damn Vulnerable Web Application) 是一个用于演示 web 应用程序漏洞的模拟环境...其中之一的漏洞SQL 注入攻击。它允许攻击者在 web 应用程序的数据库后面执行非法的 SQL 命令,从而访问敏感信息或控制系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值