DVWA平台是初学网络安全者了解十大漏洞的有效途径,此平台收集了当前威胁网络安全的最常见的十大漏洞,并且为各位初学者提供了靶场实验环境,我们可以利用此平台进行各种攻击实验,从而丰富自己对于Web安全的认识。
这篇文章主要介绍了DVWA平台中的高危漏洞之一:SQL注入漏洞的测试以及DVWA平台关于SQL注入的PHP源码分析。
在进行攻击之前,首先要了解SQL注入攻击的原理,在Web程序运行过程中,数据库是不可缺少的一部分,当我们使用Web程序时,程序会根据我们的操作对数据库中的数据进行查询,而SQL注入漏洞就存在于这个查询过程中。攻击者利用一些恶意的脚本语句,将这些恶意语句嵌入到数据库查询语句中,从而破坏查询语句原有的功能,实现攻击者非法获取信息的目的。
在DVWA平台中,对每个漏洞都进行了四个等级的划分,分别是low、medium、high、impossible,接下来我会从low开始,逐步对SQL注入漏洞的PHP源码进行分析,并且进行相关的测试。
从左下角的security level 可以看到是low等级。然后开始分析low等级代码:
<?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' ); // Get results $num = mysql_numrows( $result ); $i = 0; while( $i < $num ) { // Get values $first = mysql_result( $result, $i, "first_name" ); $last = mysql_result( $result, $i, "last_name" ); // Feedback for end user echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; // Increase loop count $i++; } mysql_close(); } ?>
从PHP代码我们可以首先判断出,这个页面采用的是$_REQUEST变量,当我们点击Submit按钮时,程序就会将我们输入的字符插入到查询语句中,进行数据库查询,在low等级中,因为采用的是$_REQUEST变量,导致我们可以在文本框中随意输入,并且代码中也没有任何防御手段,所以这个Web程序存在字符型注入,接下来是测试过程:
当我输入id=1时,程序会查询数据库中的id为1的用户信息,并且回显出来。
这时,我在文本框中输入1' or 1=1#,回显结果是这样的,我们分析代码可以看出在数据库查询语句中,他是判断我们输入的id与user_id是否相同,如果一致就将查询结果赋给$result变量,然后通过mysql_num_rows()(mysql_num_rows()方法作用是返回结果集中行的数目)方法把结果集的行数赋给$num,将结果通过循环输出。我们输入的1' or 1=1 #这句脚本会导致查询语句在比对id与user_id是否一致时一直保持真的状态,所以将数据库中的所有用户信息全部输出。
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$id = $_POST[ 'id' ];
$id = mysql_real_escape_string( $id );
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );
// Get results
$num = mysql_numrows( $result );
$i = 0;
while( $i < $num ) {
// Display values
$first = mysql_result( $result, $i, "first_name" );
$last = mysql_result( $result, $i, "last_name" );
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
// Increase loop count
$i++;
}
//mysql_close();
}
?> 从页面左下角看到已经调整到了medium等级,这时页面也出现了一些变化,原本的文本框被替换成了下拉框,这是因为PHP代码中从原本的$RESQUEST变量改为了$POST变量,因为文本框的消失,导致我们无法直接进行字符型的注入,并且在代码中,还对我们输入的id值进行了转义处理,所以这时需要利用burp suite工具,在这一步骤时我遇到了一个问题,我启动burpsuite并且成功设置代理之后却怎么也无法抓取dvwa的流量包,但是其他网页还是可以抓取,这就很奇怪了
在火狐的代理设置里也没有在不使用代理里添加127.0.0.1,经过我百度发现一种方法是直接使用本机ip登录dvwa而不使用php专用的127.0.0.1,于是我去看了一下自己的ip,win+r输入cmd,然后在命令行输入ipconfig,然后用自己的IP地址登录dvwa就可以拦截成功了,虽然我不知道是什么原因,但是希望和我有一样问题的小伙伴可以少走一点弯路。
回归正题,接下来使用burpsuite进行SQL注入攻击:
首先点击左上角代理,我这是打了汉化包,原版的话应该是proxy,在setting里添加8080端口和local host,然后点击截断,原版是intercept,查看拦截的html请求。
拦截到的流量包的最后一行就是我们当时选择输入的指令此时,修改id后的数据,改成我们上面用过的1'or1=1,成功注入。从php源码我们可以看出代码对字符进行了转义,但是数字却没有转义,所以依旧存在数字型注入,于是便注入成功啦。
<?php
if( isset( $_SESSION [ 'id' ] ) ) {
// Get input
$id = $_SESSION[ 'id' ];
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
$result = mysql_query( $query ) or die( '<pre>Something went wrong.</pre>' );
// Get results
$num = mysql_numrows( $result );
$i = 0;
while( $i < $num ) {
// Get values
$first = mysql_result( $result, $i, "first_name" );
$last = mysql_result( $result, $i, "last_name" );
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
// Increase loop count
$i++;
}
mysql_close();
}
?> 此时安全等级改为high等级,发现这次连下拉框都没了,直接变成了一个弹窗指令。。。查看代码,发现是因为这次代码改成了$_session变量,但是代码中反而没有对字符进行转义,那我们尝试一下直接点击之后注入,输入1' or 1=1#会有什么效果呢,
没想到阿,这直接注入成功了,这个high等级给我的感觉还不如medium,但是这个代码有个坑,那就是他后面是有一个limit 1的,这个字句的作用是只能返回一行数据,返回的数据量大于一行或者你输入的语句他判断是假的话就会报错,然后你就进不去SQL注入的high等级了,重启之后才能重新进去,所以在输入payload时要注意书写规范,记得加空格,不然都是泪。。。
这就是关于DVWA的SQL注入部分的个人理解,欢迎交流。