代码审计——DVWA SQL Injection (Blind) SQL盲注

最新推荐文章于 2022-06-01 15:49:32 发布
最新推荐文章于 2022-06-01 15:49:32 发布
阅读量267 收藏
点赞数
分类专栏: 代码审计 文章标签: php 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z1756227332/article/details/104812794
版权

Low等级代码

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

分析代码
变量ID接受GET[‘id’]的值
变量getid 设置SQL语句
变量result执行SQL语句
通过设置的SQL语句可以发现 user_id=‘$id’; 他是字符类型的注入。
在这里插入图片描述
if判断 SQL语句执行后的返回值,如果条件成立就显示 数据库中存在用户ID否则就显示数据库中缺少用户ID。这是个典型的SQL盲注。
在这里插入图片描述
我们来输出一下执行的SQL语句
在这里插入图片描述
在这里插入图片描述
很明显这里拼接了SQL语句,没有过滤直接用SQLmap跑就行

Medium等级代码

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    //mysql_close();
}

?>

medium等级代码 和low的区别在于一个是POST传参一个是GET传参,同样的也没有过滤 。直接抓包用SQLmap跑就可以了。
在这里插入图片描述

High等级代码

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

分析代码
High等级是接收cookie的传递过来的值然后拼接SQL语句,这就是一个cookie注入。
在这里插入图片描述

cookie-input.php文件代码
<?php

define( 'DVWA_WEB_PAGE_TO_ROOT', '../../' );
require_once DVWA_WEB_PAGE_TO_ROOT . 'dvwa/includes/dvwaPage.inc.php';

dvwaPageStartup( array( 'authenticated', 'phpids' ) );

$page = dvwaPageNewGrab();
$page[ 'title' ] = 'Blind SQL Injection Cookie Input' . $page[ 'title_separator' ].$page[ 'title' ];

if( isset( $_POST[ 'id' ] ) ) {
	setcookie( 'id', $_POST[ 'id' ]);
	$page[ 'body' ] .= "Cookie ID set!<br /><br /><br />";
	$page[ 'body' ] .= "<script>window.opener.location.reload(true);</script>";
}

$page[ 'body' ] .= "
<form action=\"#\" method=\"POST\">
	<input type=\"text\" size=\"15\" name=\"id\">
	<input type=\"submit\" name=\"Submit\" value=\"Submit\">
</form>
<hr />
<br />

<button οnclick=\"self.close();\">Close</button>";

dvwaSourceHtmlEcho( $page );

?>

接受POST方式传递过来的值并存储到cookie中
在这里插入图片描述

用burp抓包来分析一下
第一次请求,带着数据请求cookie-input.php文件
在这里插入图片描述
第二次请求了 sqli_blind 而且cookie的值是 id =1;
在这里插入图片描述
大概的流程是这样的
首先POST方式提交数据发送到cookie-input.php文件中,cookie-input.php文件接受POST中的值,并把它存储到cookie中。High.php文件读取cookie中的id值,并把它拼接到SQL语句中 执行SQL语句。

High等级中也没有存在过滤,是个cookie注入。直接使用SQLmap进行cookie注入跑就行了。

Impossible等级代码

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();

        // Get results
        if( $data->rowCount() == 1 ) {
            // Feedback for end user
            echo '<pre>User ID exists in the database.</pre>';
        }
        else {
            // User wasn't found, so the page wasn't!
            header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

            // Feedback for end user
            echo '<pre>User ID is MISSING from the database.</pre>';
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

is_numeric()函数判断传递的值是否是 数组类型。这里的话就凉掉了。

霓虹灯啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWASQL注入代码审计
good good study
08-30 3654
目录 Low Medium High Impossible Low 前端包含了一个$html的变量,查看变量所在文件 如下,可见对传入的参数未做任何的过滤 所以存在字符串注入,输入1'直接报错 Medium 前端代码如下 $number_of_rows所在文件为medium.php中,select 标签根据查询的users表中的行数来决定下拉的数量 接着引用了$html变量,其所在位置也为medium.php 可见这里也没有做任何的过滤,只是相较于低级,这...
代码审计——DVWA SQL Injection(SQL 注入)
z1756227332的博客
03-11 380
Low等级代码 <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $resu...
php代码审计学习之dvwa_sql
ailugong8410的博客
10-23 128
0x00   由于转了onenote行列,所以已经好久没有发表新的随笔了,但是想想还是非常有必要的,这几天开始学习php代码审计,所以先开始发这一些的随笔吧!   首先就先通过十大测试平台dvwa开始学习吧,先在这里带上参考的大牛链接,感谢分享   1.http://drops.wooyun.org/papers/483   2.http://www.lxway.com/8698...
DVWA-SQL回显注入模块 包括代码审计
weixin_45715461的博客
06-01 530
DVWA-SQL回显注入模块 包括代码审计
DVWA通关--SQL盲注(SQL Injection(Blind))
箭雨镜屋
07-11 2458
LOW 通关步骤 代码分析 MEDIUM 通关步骤 代码分析 HIGH 通关步骤 代码分析 IMPOSSIBLE 代码分析
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWA下的SQL Injection(Blind)
07-25
盲注
DVWASQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
SQL盲注medium.pdf
最新发布
05-13
本文档主要讲解SQL盲注的技术,使用DVWA Security平台进行演示,难度设置为medium。下面我们将对每一步操作进行详细的解释和知识点总结。 一、DVWA Security平台的使用 DVWA Security是一个开源的Web应用安全测试...
2020-12-06-DVWAsql.md
01-24
### DVWASQL Injection知识点详解 #### 一、SQL Injection概念 SQL InjectionSQL注入)是一种常见的Web应用程序安全漏洞,攻击者通过将恶意SQL代码插入应用程序的输入字段中,从而改变原有SQL语句的逻辑,进而...
Kali渗透测试之DVWA系列(四)——使用Burp Suite进行SQL Injection(Blind)(SQL盲注,包括盲注脚本)
weixin_45116657的博客
08-25 4598
目录: 一、SQL盲注 SQL盲注SQL注入的区别; SQL盲注的过程; 二、实验环境 三、实验过程 基于布尔值的盲注; 基于时间的盲注; 一、SQL盲注简介 1、SQL盲注盲注SQL Injection(Blind),即SQL盲注,目标只会回复是或不是,没有详细内容; 注入:可以查看详细的内容 2、手工盲注思路: 手工盲注的过程,就像你和机器人聊天一样,这个机器人知道的...
通过分析mysql日志检测sql注入
weixin_34301307的博客
05-14 1000
通过分析mysql日志来检测sql注入。 对于mysql注入的防御思路: 禁止访问系统表 主要是information_schema表,这里包含了数据库中表结构等关键信息,拖库时非常依赖这个表。 关注敏感系统函数 如sleep等,太多不一一列举 等等 PS:在mysql日志这一层面检测sql注入的好处是不用考虑编码绕过等问题...
dvwa为例学习简单sql布尔盲注的详细脚本
Lethe's Blog
03-02 2553
0x01 前置知识 1.SQL注入与SQL盲注 SQL注入: 执行SQL注入攻击时,服务器会响应来自数据库服务器的错误信息,信息提示SQL语法不正确等 一般在页面上直接就会显示执行sql语句的结果 SQL盲注: 一般情况,执行SQL盲注,服务器不会直接返回具体的数据库错误or语法错误,而是会返回程序开发所设置的特定信息(也有特例,如基于报错的盲注) 一般在页面上不会直接显示sql执行的结果 ...
dvwa-sql injection(blind)
Alter__的博客
05-31 790
盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知。         盲注分为基于布尔的盲注、基于时间的盲注以及基于报错的盲注。  1.判断是否存在注入,注入是字符型还是数字型 2.猜解当前数据库名 3.猜解数据库中的表名 4.猜解表中的字段名 5.猜解数据 low
SQL注入防御之二——注入关键词过滤(PHP
热门推荐
心有猛虎,细嗅蔷薇!
08-23 1万+
SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 概述  欢迎来到本人的SQL注入防御系列的第二篇文章,上一篇文章我们讲到了伪静态的技术来防止SQL注入,但是正如我们总结的,不能完全依赖于伪静态就能达到防止SQL注入的目的,因为伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受
代码审计——DVWA DOM Based Cross Site Scripting (XSS) DOM型XSS
z1756227332的博客
03-13 1151
关于三种XSS类型的流程 DOM型 代码 -> 浏览器(js) 反射性型 代码 -> 浏览器 ->php -> 浏览器 存储性型 代码->浏览器->PHP->数据库->php->浏览器 Low等级代码 <?php 这个意思就是没有过滤 输入什么就会输出什么。 # No protections, anything goes 没有保护,什么都...
代码审计——DVWA Brute Force(暴力破解)
z1756227332的博客
03-04 643
DVWA是一款渗透测试的靶场。非常适合新手来练习渗透同时也是练习代码审计的入门之选。 关于Brute Force(暴力破解)审计 LOW等级代码 if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]...
代码审计——Bluecms
z1756227332的博客
03-31 454
关于审计方法可以定位敏感关键字 , 回溯参数传递过程,定位敏感功能点,通读功能点代码。黑盒测试 + 白盒测试 把bluecms的源码导入到Seay源代码审计系统中,开始自动审计。审计完成后根据正则配到的疑似存在漏洞的文件进行审计。 SQL注入 有个ad_js.php文件中getone方法中疑似存在漏洞我们进去分析一下 ad_js.php文件代码 <?php /** * [bluecms]...
dvwa sql injection (blind)
03-16
DVWA SQL注入(盲注)是一种攻击技术,利用应用程序中的漏洞,通过注入恶意代码来获取敏感数据或者控制应用程序。在盲注中,攻击者无法直接获取数据库中的数据,而是通过不断尝试不同的注入语句,观察应用程序的反应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值