bWAPP中SQL注入思路

SQL Injection (GET/Search)

等级：low

首先看看正常搜索的情况，这里我输入了一个字母b，可以看出来他把标题带有b的电影信息全都给搜出来了

在这里我猜想其构成SQL语句的代码：

$sql = "select * from table where Title like '%" . $name . "%'"

接下来为了验证猜想，我输入了一个单引号

返回了一个报错，直接证明了服务器未对单引号进行过滤，意味着我们可以使用单引号进行SQL语句的闭合控制，且也可以看出来后面带着一个%，和我们猜想的构成SQL的代码相差无几，而报错也是因为我们插入的单引号与前面的单引号匹配，导致语法出错造成的。

为了进一步验证是否存在注入，我们输入b%' and 1=1 #与b%' and 1=2 #如果存在SQL注入的话，前者执行侯，返回的结果与直接输入b是一致的，后者则无法查询出任何信息。

结果与我们猜想的一致，说明这里的确存在SQL注入

证明了SQL注入存在，接下来就该搞些事情，比如查看数据库中的敏感信息。

于是我们就想到，如果我们能注入自己的select语句，那我们就能任意查看数据库中的敏感信息了。如何能执行我们自己的select语句呢？答案是用数据库中提供给我们的 union关键字，使用这个关键字可以进行联合查询，可以将复数的select数据合成一个数据集返回，我们使用union all，还可以将select仅仅进行简单的拼接后返回。

这样我们的进一步思路就是：
将原本的select查询结果变成空集，并union上我们自己的select，这样就可以返回我们想要的信息了。

但是新问题又来了：

union关键字联结的两个select语句必须列数相同
union关键字是否能使用

于是我们进一步着手解决这两个问题
对第一个问题，我们可以使用order by语句进行列数猜测。具体实现是，我输入如下信息给注入点b%' order by 7 #,这条语句的作用是，可以按照查询的第7列对数据进行排序，但是如果第七列不存在的话，则会返回错误。而这个临界点，就是查询结果包含的列数！

这样就可以证明，原本的select搜索出的结果包含7列数据。

接下来就是第二个问题，union关键字是否能使用。我们直接用于用看结果b%' and 1=2 union all select 1,2,3,4,5,6,7 #

这个结果是我们期望看到的结果了，union能用，而且我们可以看出来，第2，3，4，5列的数据会被直接打印在页面上，这样我们就可以在对应的位置上打印出我们想要的信息了。

接下来对mysql用户名主机名，当前数据库的版本信息，当前数据库名称，数据库路径等进行查询和显示。输入b%' and 1=2 union all select 1,user(),version(),database(),5,6,7#

查询当前数据库下的所有表信息b%' and 1=2 union all select 1,table_name,table_schema,database(),5,6,7 from information_schema.tables where table_schema=database() #

查询users表的所有字段名b%' and 1=2 union all select 1,column_name,table_schema,4,5,6,7 from information_schema.columns where table_name="users" #

等级：Medium

在中等防御下，单引号被转义，即不能使用单引号进行SQL语句的关闭控制

查看了一下后台的php代码，发现使用了addslashes()函数进行防御。

addslashes()函数会在指定的预定义字符前添加反斜杠转义，这些预定义的字符是：单引号（’）、双引号（"）、反斜线（\）与 NUL（NULL 字符）。

虽然这个防御方法在某些场景下可以绕过(比如输入某个字符串需要用引号框住)，但是在字符型SQL注入中，他的确会直接导致我们无法用单引号进行SQL语句的关闭控制。这点我们后面的实例会讲到。

等级：high

高等级防御使用了mysql_real_escape_string()函数，这个函数可以转义SQL语句中使用的字符串中的特殊字符
如：

\x00
\n
\r
\
'
"
\x1a

基本无法绕过

SQL Injection (GET/Select)

这次的SQL注入是一个数值型注入，猜想SQL赋值语句为

$sql = "select * from table where id=" .$id

等级low的与上面的类似，就不详述了，我们直接看等级为medium的

等级：medium

按照前一类注入的步骤，我们在地址栏直接写入payload，一路畅通无阻，直到查询表中字段名的时候发现执行失败

http://192.168.9.100/bWAPP/sqli_2.php?movie=3%20and%201=2%20union%20all%20select%201,column_name,table_schema,4,5,6,7%20from%20information_schema.columns%20where%20table_name="blog"&action=go

直接可以看出来，还是转义了双引号，但是这次的情况，我们就可以绕过，不需要双引号，可以达到同样的效果，payload如下

http://192.168.9.100/bWAPP/sqli_2.php?movie=3%20and%201=2%20union%20all%20select%201,column_name,table_schema,4,5,6,7%20from%20information_schema.columns%20where%20table_name=CHAR(98,108,111,103)&action=go

可以看到，我们使用了CHAR()函数对我们想要的字符串blog进行了输出，即CHAR(98,108,111,103)相当于"blog"，直接绕过，以下是结果

等级：high

等级high的防护方法还是挺绝的…直接上后台代码分析吧

这里用的是php5后推出的mysqli相关方法，其中mysqli_prepare()函数里面把参数用’?'来替代，然后使用 bind_param() 绑定参数。在 bind_param() 中，第一个参数’s’代表了参数的类型与个数(此处为一个字符串类型)。他会根据参数个数格式化字符串，这样直接避免了我们扩展传入的参数从而执行恶意的SQL语句。

SQL Injection (Login Form/Hero)

这个叫做superHero的页面考察的是你能否在不知道用户名和密码的情况下，通过这个登录验证。

等级：low

整理一下思路：这里让我们输入了用户名和密码，在后台肯定会有相关的代码是对用户名和密码进行认证的。如何绕过这个认证就是我们这次要解决的问题。

(说实话这个用户名密码判断我是真的没猜到，想复杂了，以至于我直接上去看代码了，看完我人傻了…)

绕过方法就很简单了，直接用常用的“万能密码”' or 1=1 #就行，由于1=1是永真式，where中有逻辑运算符or，这样where语句就永真了

等级：medium/high

同之前的Search一样，对单引号转义了，无法控制’的关闭。

SQL Injection (Login Form/User)

其实一开始看这个页面，我是没有看出来它和上面那个Hero有什么区别，后来才知道，这个User登录的逻辑是我一开始在Hero那想的逻辑。大概就是先去数据库查出user_name对应的password，再与前端发来的password比对，比对通过则验证成功

等级：low

没想出来，直接看代码了。

这里可以看出来我们可以通过修改user_name的参数进行注入，但是返回的结果集中必须满足条件才可以进行输出。题出的听妙的，接下来我们构造一下注入。

思路：

首先我们要保证$row["login"]是存在的
其次我们要保证$row["password"]的值与我们前端填入的password再sha1加密下是一致的
接下来就是关键点union的用法，使用UNION关键字，是将两个结果集合并到一个结果集中，并且它会去掉重复的部分。还有一个问题是关于使用UNION关键字后的列名问题，在这里我们需要注意，如果叠加后的列名，我们没有使用AS子句将其变为相同的列名的话，那么，它会采取UNION关键字前Select语句中的字段名
用这个方法，在前面的搜索结果集为空的情况下，union上我们恶意的select语句，就可以直接变成恶意的$row，这样我们就能通过$row["login"]与$row["secret"]在页面打印出我们想要的信息了

思路有了，接下来就是如何确定返回的列数与$row[“password”]是第几列了

先做一个猜列数操作，这里我就直接说结果了，一共有九列' order by 10 #

接着，本着第一列一般是id的原则，我直接用枚举法试了一下password所在的列，还好运气不错，第三列就是password的所在位置，所以，我们构造如下注入语句' union select 1,2,'356a192b7913b04c54574d18c28d46e6395428ab',4,5,6,7,8,9 #
注：这里的密码栏应该输入1，因为注入语句中那一长串是1的sha1加密码，如果不想要1就自己构造加密码，网上有很多

注入成功，而且可以看出第二列和第五列可以直接打印出来，我们就可以获取数据库内容了