DVWA靶場實戰(七)
七、SQL Injection:
1.漏洞原理:
SQL Inject中文叫做SQL隱碼攻擊,是發生在web端的安全漏洞,主要是實現非法操作,例如欺騙伺服器執行非法查詢,他的危害在於駭客會有惡意獲取,甚至篡改資料庫資訊,繞過登入驗證,原理是針對程式設計師編寫資料庫程式的疏忽,透過執行SQL語句,實現目的性攻擊,他的流程可以分為判斷資料庫型別、判斷資料庫版本、判斷注入點、判斷注入型別、判斷資料欄位數、判斷顯示位、獲取資料庫中的資訊。
簡單來說就是透過web表單把SQL命令提交到資料庫,由於管理員沒有細緻的過濾使用者輸入的資料,造成字串拼接,進而惡意的SQL語句被執行,造成資料庫資訊洩露、網頁篡改、資料庫被惡意操作等後果。
2.SQL Injection分類:
從注入引數型別分類:數字型注入、字元型注入、搜尋型注入
從注入方法分:報錯注入、布林盲注、時間盲注、聯合查詢注入、堆疊注入、內聯查詢注入、寬位元組注入
從提交方式分:GET注入、POST注入、COOKIE注入、HTTP頭注入
3.SQL隱碼攻擊漏洞的利用思路:
(1)第一步:
尋找可能的漏洞站點,也就是目標站點。
(2)第二步:
透過站點的字尾名來判斷網站的使用的是哪一種資料庫,簡單的判斷可以觀察指令碼字尾,如果是“.asp”為字尾,則資料庫可能是access,如果是“.aspx”為字尾可能是MsSql,如果是“.php”為字尾的可能是mysql資料庫,如果是“.jsp”,可能是orcale資料庫。
(3)第三步:
是尋找站點存在的注入點,可以再URL中進行嘗試輸入引數後在拼接上引號,透過回顯可以判斷該站點傳輸方式,為GET或POST方式POST需要檢視錶單資料,POST注入在表單中提交引號,而cookie注入可以透過burpsuite工具來判斷注入點。
(4)第四步:
判斷注入點的型別,如果加減法運算按照是否是數字型注入,如果單引號和頁面報錯資訊來進一步判斷是哪一種的字元型注入。
(5)第五步:
閉合我們輸入的SQL語句,透過註釋的方式來獲取資料,有以下幾種情況:
①當頁面有回顯但是沒有顯示位的時候,可以選擇報錯注入,常見的報錯注入利用函式有那麼幾個:floor()、exp()、updatexml()、exteractvalue()等函式。
②當頁面沒有明確的回顯資訊的時候,但是輸入正確和輸入錯誤的時候頁面不相同的情況下,可以考慮報錯注入,報錯注入常見的函式有:ascii()、substr()、length()、concat()等函式。
③當頁面沒有會回顯也沒有報錯資訊的時候,可以使用時間盲注去獲取資料庫中的資料,時間盲注常見的函式有:sleep()。
其他:當然還有很多其他的注入方式,比如:寬位元組注入、base64注入、cookie注入、http頭部注入、二次注入、堆疊注入等。
4.漏洞危害:
(1)獲取企業內部、個人未授權的隱私資訊,或一些機密資料。
(2)頁面內容偽造篡改。
(3)資料庫、伺服器、網路(內網、區域網)受到攻擊,嚴重時可導致伺服器癱瘓,無法正常執行。
5.防禦以及修復措施:
(1)對資料庫進行嚴格的監控。
(2)對使用者提交的資料進行嚴格的把關,多次篩選過濾。
(3)對使用者內資料內容進行加密。
(4)程式碼層面最佳防禦sql漏洞方案:採用sql語句預編譯和繫結變數,是防禦sql注入的最佳方式。
6.注意事項:
我們在進行查詢的時候可能會遇到union聯合查詢我們利用Navicat Premium 15連結我們的dvwa的MySQL資料庫,然後我們找到dvwa然後右鍵右鍵點選選擇“設計表”。接下來我們將“first_name”、“last_name”、“user”等全部將預設排序的“utf8_unicode_ci”修改為“utf8_general_ci”。修改完成然後儲存,完成修改。就可以正常使用union聯合查詢語句了。
7.實戰:
(1)Low:
程式碼分析:
<?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; switch ($_DVWA['SQLI_DB']) { case MYSQL: // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); // Get results while( $row = mysqli_fetch_assoc( $result ) ) { // Get values $first = $row["first_name"]; $last = $row["last_name"]; // Feedback for end user $html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } mysqli_close($GLOBALS["___mysqli_ston"]); break; case SQLITE: global $sqlite_db_connection; #$sqlite_db_connection = new SQLite3($_DVWA['SQLITE_DB']); #$sqlite_db_connection->enableExceptions(true); $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; #print $query; try { $results = $sqlite_db_connection->query($query); } catch (Exception $e) { echo 'Caught exception: ' . $e->getMessage(); exit(); } if ($results) { while ($row = $results->fetchArray()) { // Get values $first = $row["first_name"]; $last = $row["last_name"]; // Feedback for end user $html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } } else { echo "Error in fetch ".$sqlite_db->lastErrorMsg(); } break; } } ?>
可以看出來基本上沒有防護,所以我們直接開始攻擊了。
首先利用語句“1’and’1’=’1”和“1’and’1’=’2”來判斷是否有注入點。以下為兩種語句的不同回顯,可以判斷出是有注入點的。
判斷完注入點我們嘗試獲取他的判斷他的列數,利用“1’order by 1#”語句替換“1”來判斷行數,這裡我們“#”或者“--+”的作用是註釋掉原本語句後面的內容,讓我們能夠自如的進行查詢。然後我們最後查詢到“1’order by 3#”就彈出報錯,就說明列數應該為兩列。
判斷完列數後,我們開始利用聯合查詢語句,這裡使用“-1’union select 1,2#”,來判斷顯示位。我們這裡可以看見回顯了另外一個語句,就說明顯示位為2,一般靶場中比如sqli-labs那種就會需要將前面的“1”改為“-1”,也就是“-1’union select 1,2#”才會正常回顯我們查詢的內容。這裡我們也可以,之後的演示排除干擾就將第一行結果遮蔽了。
這裡我們收集資料庫名稱利用database()函式,它的作用是返回資料庫名,我們在後續查詢中是需要資料庫才能進行的所以利用語句“-1’union select 1,database()#”接下來進行查詢,得到結果資料庫名稱為“dvwa”。
我們收集完以上的資料庫資訊後,我們再查詢一下資料庫的版本,因為mysql資料庫注入大概是以5.0版本為分界線,5.0以下沒有information表,5.0以上則都有information表。這裡的MySQL版本為5.7.26,那麼我們就可以查詢information表來找到資料庫的表名。
接下來,我們查詢dvwa資料庫有哪些表名,利用聯合查詢語句“-1'union select 1,table_name from information_schema.tables where table_schema='dvwa'#”來進行對錶名的查詢。得到兩個表名“guestbook”和“users”。
我們查詢好表名後,我們查詢列名,利用語句“-1'union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users')#”得到“user_id,first_name,last_name,user,password,avatar,last_login,failed_login
”的結果,這個時候我們就可以知道我們應該查詢“user”和“password”。
然後我們查詢好表名為“users”和列名“user”、列名“password”後,我們利用查詢語句“-1’union select user,password from users”,然後查詢得到賬號和密碼,密碼是MD5加密需要自己解密查詢。
(2)Medium:
程式碼分析:
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$id = $_POST[ 'id' ];
$id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);
switch ($_DVWA['SQLI_DB']) {
case MYSQL:
$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Display values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
break;
case SQLITE:
global $sqlite_db_connection;
$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
#print $query;
try {
$results = $sqlite_db_connection->query($query);
} catch (Exception $e) {
echo 'Caught exception: ' . $e->getMessage();
exit();
}
if ($results) {
while ($row = $results->fetchArray()) {
// Get values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
} else {
echo "Error in fetch ".$sqlite_db->lastErrorMsg();
}
break;
}
}
// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];
mysqli_close($GLOBALS["___mysqli_ston"]);
?>
使用POST提交方式,還使用了轉義預防SQL隱碼攻擊。
我們開始攻擊,首先我們開啟BP進行截包,得到如下的資料包。並將其傳送到“Repeater”,方便接下來的注入回顯操作。
我們同樣利用“1 and 1=1”和“1 and 1=2”來判斷,是否這裡為注入點,觀察兩者的有差異且頁面未報錯,就說明這裡是注入點。
這裡我們可以看到,同樣是在“3”的時候,我們這裡用“order by 3”查詢返回報錯,所以我們這裡判斷前面只查詢兩列。利用語句“1 union select 1,2#”來進行驗證,返回正確,驗證成功。
此時同樣判斷完列數後,我們同時對版本和資料庫名稱進行查詢,利用語句“1 union select database(),version()#”。此時觀察回顯,發現同時回顯了資料庫名稱和資料庫版本dvwa和5.7.26。
在查詢完資料庫後,我們先查詢表名,然後查詢列名,利用語句“1 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=’dvwa’)#”,但發現報錯,沒有任何反應,將“dvwa”改為“database()”後查詢得到“users”表名後。後來發現是對單引號進行了轉義。所以我們將單引號連同users一起寫為16進製表示為“0x75736572”。
查詢列名“1 union select (select group_concat(column_name) from information_schema.columns where table_name=0x75736572),(select group_concat(table_name) from information_schema.tables where table_schema=database())”,得到關鍵列名“user”和“password”。
最後我們利用,“1 union select user,password from users#”語句,得到最後的結果。
(3)High:
程式碼分析:
<?php if( isset( $_SESSION [ 'id' ] ) ) { // Get input $id = $_SESSION[ 'id' ]; switch ($_DVWA['SQLI_DB']) { case MYSQL: // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' ); // Get results while( $row = mysqli_fetch_assoc( $result ) ) { // Get values $first = $row["first_name"]; $last = $row["last_name"]; // Feedback for end user $html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); break; case SQLITE: global $sqlite_db_connection; $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;"; #print $query; try { $results = $sqlite_db_connection->query($query); } catch (Exception $e) { echo 'Caught exception: ' . $e->getMessage(); exit(); } if ($results) { while ($row = $results->fetchArray()) { // Get values $first = $row["first_name"]; $last = $row["last_name"]; // Feedback for end user $html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } } else { echo "Error in fetch ".$sqlite_db->lastErrorMsg(); } break; } } ?>
使用了session 獲取id 值,閉合方式單引號閉合。
雖然用了session來獲取id值,但是同樣也是數字型注入,利用同樣的方法,然後最後用“-1’union select user,password from users #”,即可得到答案。
(4)Impossible:
程式碼分析:
<?php
if( isset( $_GET[ 'Submit' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$id = $_GET[ 'id' ];
// Was a number entered?
if(is_numeric( $id )) {
$id = intval ($id);
switch ($_DVWA['SQLI_DB']) {
case MYSQL:
// Check the database
$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
$data->bindParam( ':id', $id, PDO::PARAM_INT );
$data->execute();
$row = $data->fetch();
// Make sure only 1 result is returned
if( $data->rowCount() == 1 ) {
// Get values
$first = $row[ 'first_name' ];
$last = $row[ 'last_name' ];
// Feedback for end user
$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
break;
case SQLITE:
global $sqlite_db_connection;
$stmt = $sqlite_db_connection->prepare('SELECT first_name, last_name FROM users WHERE user_id = :id LIMIT 1;' );
$stmt->bindValue(':id',$id,SQLITE3_INTEGER);
$result = $stmt->execute();
$result->finalize();
if ($result !== false) {
// There is no way to get the number of rows returned
// This checks the number of columns (not rows) just
// as a precaution, but it won't stop someone dumping
// multiple rows and viewing them one at a time.
$num_columns = $result->numColumns();
if ($num_columns == 2) {
$row = $result->fetchArray();
// Get values
$first = $row[ 'first_name' ];
$last = $row[ 'last_name' ];
// Feedback for end user
$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
}
break;
}
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
此為防禦模板,CSRF、檢測 id 是否是數字,prepare 預編譯語句的優勢在於歸納為:一次編譯、多次執行,省去了解析最佳化等過程;此外預編譯語句能防止 SQL 注入。