Kali学习笔记42:SQL手工注入(4)
前三篇文章都是在讲发现SQL注入漏洞
如何查询得到所有的信息
那么另一条思路还未尝试过:能否修改数据?
例如这样:
'; update users set user='yiqing' where user='admin
理论上是会成功的,由于DVWA编写BUG,导致无法执行
实战中,可以这样直接修改数据
可以修改,那么就可以插入数据:
'; INSERT INTO users (' user_id',' first_name',' last_name',' user','password','avatar') VALUES ('35','yiqing','xu','xyq','5f4dcc3b5aa765d61d8327deb882cf99','OK'); --
更恶意的人可以删库:
'; DROP TABLE users; --
由于DVWA的编写问题,这些示例都不能成功
可以这样说:正式由于程序员水平不够,阴差阳错防止了一部分SQL注入
到这里其实基本的手工SQL注入就说完了
实战中,SQL注入考验的是一个人的综合素质
以及对数据库本身的了解程度
一个人如果是SQL注入方面的大师,那么他一定是数据库方面的专家
接下来对DVWA三种SQL注入的源码进行分析:
低级别:
<?php if(isset($_GET['Submit'])){ // Retrieve data $id = $_GET['id']; $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); $num = mysql_numrows($result); $i = 0; while ($i < $num) { $first = mysql_result($result,$i,"first_name"); $last = mysql_result($result,$i,"last_name"); echo '<pre>'; echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; echo '</pre>'; $i++; } } ?>
分析:
没有对输入做任何过滤,直接放入SQL语句
最后对结果进行输出
缺陷:
1.对输入没有任何过滤
2.如果查询失败,直接返回数据库错误信息,不妥
中级别:
<?php if (isset($_GET['Submit'])) { // Retrieve data $id = $_GET['id']; $id = mysql_real_escape_string($id); $getid = "SELECT first_name, last_name FROM users WHERE user_id = $id"; $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); $num = mysql_numrows($result); $i=0; while ($i < $num) { $first = mysql_result($result,$i,"first_name"); $last = mysql_result($result,$i,"last_name"); echo '<pre>'; echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; echo '</pre>'; $i++; } } ?>
分析:使用函数:
mysql_real_escape_string()
对输入进行过滤
这个函数的作用:给非法字符'"/%#等字符前面加上转义符号:\
还有一个地方存在问题:SQL语句没有使用拼接的方式,所以SQL注入不需要单引号进行闭合
新版本的PHP语言采用其他函数:MySQLi,PDO_MYSQL
结论:
1.SQL注入漏洞还是存在,而且会报错,理论上可以避免一部分SQL注入
2.无意义代码:既然过滤了单双引号,那么为什么要改SQL语句,使得不需要引号就可以注入
3.依然可以SQL注入,有方法绕过输入过滤
注入方式:
其实注入比刚才反而简单了:比如查所有的表
0 union select table_name,table_schema from information_schema.tables
高级别:
<?php if (isset($_GET['Submit'])) { // Retrieve data $id = $_GET['id']; $id = stripslashes($id); $id = mysql_real_escape_string($id); if (is_numeric($id)){ $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); $num = mysql_numrows($result); $i=0; while ($i < $num) { $first = mysql_result($result,$i,"first_name"); $last = mysql_result($result,$i,"last_name"); echo '<pre>'; echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; echo '</pre>'; $i++; } } } ?>
分析:
首先函数
stripslashes()
去掉字符\
然后再进行中级别的特殊字符转义
这些都是小问题,之所以高级别,在于下面这个函数:
is_numeric()
如果输入不是一个数字,那么什么都不执行
结论:很安全,几乎不可能找到SQL注入漏洞
到这里SQL手工注入就完成了
后边将说一说SQL盲注和SQL自动注入,以及神器SQLMAP