web安全漏洞-SQL注入攻击实验

实验目的

学习sql显注的漏洞判断原理
掌握sqlmap工具的使用
分析SQL注入漏洞的成因

实验工具

sqlmap是用python写的开源的测试框架，支持MySQL，Oracle，PostgreSQL，Microsoft SQL Server，Microsoft Access，IBM DB2，SQLite，Firebird，Sybase，SAP，MAXDB并支持6种SQL注入手段。
实验内容

SQL注入（SQL Injection ）

SQL注入攻击的产生当应用程序使用输入内容来构造动态SQL语句以访问数据库时，会发生SQL注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生SQL注入。

SQL注入漏洞的本质是把用户输入的数据当做代码来执行，违背了数据与代码分离的原则。

SQL注入漏洞有两个关键条件，理解这两个条件可以帮助我们理解并防御SQL注入漏洞：

用户能控制输入的内容

Web应用执行的代码中，拼接了用户输入的内容

实验步骤

本次实验中，我们先手工发现注入点，再使用sqlmap工具来注入。

步骤1：SQL注入漏洞验证

本步利用手工发现sql显注

什么是sql显注：在sql注入的漏洞分类中，如果程序员没有对数据库的报错进行过滤，那么数据库所以产生的错误信息将呈现给前台的用户。当我们进行测试时，通过报错信息来证明用户的输入传递至数据库，此种漏洞的类型即为sql显注。

首先我们输入在浏览器中打开目标机网址172.16.12.2进入漏洞验证平台，登录用户名为admin，密码 password，是个典型的弱密码。

在右侧下方的DVWA Secruty设置中，将DVWA漏洞演示环境的安全级别设置为Low级别。

来到SQL Injection 显注的页面。

步骤2 ：手工判断注入点

看到他的user ID 是可以随意输入的

输入1的情况下返回的页面情况(网站正常的访问策略)

如果尝试输入1‘的情况下返回错误页面

我们发现页面中报错是直接返回数据库的报错信息，至此可以断定此页面存在sql注入，并且为显注模式。

步骤3：使用sqlmap

本步骤将使用sqlmap对目标注入点进行扫描

sqlmap简介： sqlmap是一个开源的渗透测试工具，可以自动检测和利用SQL注入漏洞。并且它拥有一个强大的检测引擎，在安全人士眼中，这是一款必备的安全工具。

sqlmap常用选项：

-u "url" 指定要测试的网页URL，常用于get类型的url测试。
--cookie="cookie值“ 指定测试链接时所使用的cookie，常用于需登录后方能访问的页面。
-p 指定存在注入点的参数，可提高sqlmap的检测效率。
-r 从文件读取数据

准备工作1：我们需要启动burpsuite工具

准备工作2：我们需要将浏览器的代码配置为 127.0.0.1 端口 8080

浏览器 “首选项”----＞“高级” ----＞“网络”----＞"连接" “设置” ----＞填入代理地址后保存退出即可。

如果配置成功，我们DVWA页面，我们将看到burpsuite的proxy选项卡中，成功的抓取到HTTP请求。并且我们能看到一行对本次试验非常重要地方：PHPSESSID=xxxxx,security=low

至此准备工作已经全部完成，开启我们的攻击之旅啦

在burpsuite的intercept中右键，将截获的信息保存到文件中。

开启终端，使用sqlmap攻击，使用-r参数：

我们所使用的sql语句为： sqlmap -r /root/2

至此我们成功使用sqlmap对URL进行了注入测试，我们可以清晰的看到sqlmap成功的对URL进行了测试。

在输出中，成功的检测到目标主机的数据库版本、操作系统版本，PHP版本以及Apache的版本。

实验分析

本步骤将针对源代码进行审计，探寻漏洞产生的原因。


＜?php 
if(isset($_GET['Submit'])){
 // Retrieve data
 $id = $_GET['id'];
 $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
 $result = mysql_query($getid) or die('＜pre＞' . mysql_error() . '＜/pre＞' );
 $num = mysql_numrows($result);
 $i = 0;
 while ($i ＜ $num) {
  $first = mysql_result($result,$i,"first_name");
  $last = mysql_result($result,$i,"last_name");
  $html .= '＜pre＞';
  $html .= 'ID: ' . $id . '＜br＞First name: ' . $first . '＜br＞Surname: ' . $last;
  $html .= '＜/pre＞';
  $i++;
 }
}
?＞

当代码获取用户所传入的参数后，直接带入sql进行查询

在正常情况下，传输至数据库的语句为：select first_name,last_name from users where user_id='1';

而当攻击者输入1‘后，传输至数据库的语句则变成：select first_name,last_name from users where user_id='1''；

当出现了2个‘后，则前面的一个闭合了代码中的’，但多出的一个‘则会导致sql产生错误，并且直接传回至web页面。

这也是为何我们使用1’测试显注的方式。