仁者见仁,智者见智
SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞。
本篇侧重介绍SQL注入预备知识与攻击手法的细节分析与总结
SQL注入文分为 细节篇 与 实战篇 两个篇幅互补来看可加深理解
预备知识
SQL 结构化查询语言
结构化查询语言(Structured Query Language) 简称 SQL
SQL学习
SQL基础语法简单易学,很快就能够掌握并使用
SQL注入基础知识
注入分类
如有补充可以在本文留言,如果感觉难以理解,也可以跳过,当你学习完SQL注入篇再回头看这一段。
基于从服务器接收到的响应
- 基于错误的SQL注入;
- 联合查询的类型;
- 堆查询注射;
- SQL盲注:
- 基于布尔的SQL盲注;
- 基于时间的SQL盲注;
- 基于报错的SQL盲注;
基于如何处理输入的SQL查询(数据类型)
- 字符串为基础的;
- 数字或整数为基础的;
基于程序的顺序的注入(哪里发生了影响)
- 一阶注入;
- 二阶注入;
一阶注入 是指输入的注入语句对Web直接产生了影响,出现了结果; 二阶注入类似 存储型XSS 是指输入提交的语句,无法直接对Web应用程序产生影响,通过其他辅助间接的对Web产生危害,这样的注入就被称为 二阶注入
基于注入点的位置上的注入
- 通过用户输入的表单域的注入;
- 通过 cookie 注入;
- 通过服务器变量注入;
系统函数
常用的几个函数
1 | version() # MySQL版本 |
字符串连接函数
在select数据时,我们往往需要将数据进行连接后进行回显。很多的时候想将多个数据或者多行数据进行输出的时候,需要使用字符串连接函数。
CONCAT()函数
当我们不使用字符串连接函数时,查询语句返还结果是这样子的:
1 | mysql> SELECT id,username FROM users; |
但是这里存在的一个问题是当使用union联合注入时,我们都知道,联合注入要求前后两个选择的列数要相同,这里id,name是两个列,当我们要一个列的时候,(当然不排除你先爆出id,再爆出name,分两次的做法)该怎么办?
CONCAT()语法及使用特点
返回连接参数的字符串,可能有一个或多个参数。如有任何一个参数为NULL ,则返回值为 NULL。
CONCAT()使用示例
1 | mysql> SELECT CONCAT('My', 'S', 'QL'); |
一般的我们都要用一个字符将各个项隔开,便于数据的查看。
CONCAT_WS()函数
CONCAT_WS 代表与分隔符连接,是CONCAT()的特殊形式。 第一个参数是其余参数的分隔符。 分隔符被添加在串联的字符串之间。 分隔符可以是一个字符串,其余的参数也是如此。 如果分隔符为NULL,则结果为NULL。CONCAT_WS()不会忽略任何空字符串, (然而会忽略所有的 NULL)。
CONCAT_WS()语法及其使用特点
CONCAT_WS(separator,str1,str2,…)
Separator为字符之间的分隔符
CONCAT_WS()使用示例
1 | mysql> SELECT CONCAT_WS(',','First name','Second name','Last Name'); |
GROUP_CONCAT() 函数
GROUP_CONCAT() 函数返回一个字符串结果,该结果由分组中的值连接组合而成。
使用语法及其特点
函数返回带有来自一个组的连接的非NULL值的字符串结果。该函数是一个增强的Sybase SQL Anywhere支持的基本LIST()函数。
GROUP_CONCAT([DISTINCT] expr [,expr …] [ORDER BY {unsigned_integer | col_name | expr} [ASC | DESC] [,col_name …]] [SEPARATOR str_val])
DISTINCT: 去除重复值;
expr [,expr …]: 一个或多个字段(或表达式)
ORDER BY {unsigned_integer | col_name | expr} [ASC | DESC] [,col_name …]: 根据字段或表达式进行排序,可多个
SEPARATOR str_val: 分隔符(默认为英文逗号)
其实吧,这个讲的七七八八的,晕里晕乎的,我们还是边用边解释吧。
GROUP_CONCAT()使用示例
1 | -- 我们来列出列出所有的数据库,先来看不使用GROUP_CONCAT()函数是个怎么样的效果 |
一般用于判断SQL注入的语句
PS : --+ 可以用 # 替换, url提交过程中url编码后的 # 为 %23
or 1=1–+
‘ or 1=1–+
“ or 1=1–+
) or 1=1–+
‘) or 1=1–+
“) or 1=1–+
“)) or 1=1–+
存在SQL注入的代码可能像下面这样子:
1 | $id=$_GET['id']; |
可以产生一下联想,如果我们插入的 $id 多了一个引号会怎么样?
1 | $sql="SELECT * FROM users WHERE id='1'' LIMIT 0,1"; |
因为多了一个引号,字符串无法闭合,会产生一条错误,所以此处考虑两个点,一个是闭合前面的 ' 另一个是把后面的 ' 处理掉(一般采用两种思路,闭合后面的引号或将他注释掉 -- # %23)
union 操作符的介绍
UNION 操作符用于合并两个或多个 SELECT 语句的结果集。请注意,UNION 内部的每个 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每个 SELECT 语句中的列的顺序必须相同。
SQL UNION 语法
1 | SELECT column_name(s) FROM table1 |
SQL UNION ALL 语法
1 | SELECT column_name(s) FROM table1 |
SQL 中的逻辑运算
提问
1 | SELECT * FROM users WHERE id=1 and 1=1; |
上面这条语句为什么能够选择出 id=1 的内容,and 1=1 到底起作用了没有? 这里就要清楚sql语句执行的顺序了。
这个问题我们在尝试万能密码的时候也会用到。
1 | SELECT * FROM admin WHERE username='admin' AND password='' OR 1=1#' |
' pr 1=1# 就是我们注入的语句。在上面这个语句执行后,我们在不知道密码的情况下就能登录admin用户了。原因其实在 WHERE 字句之后,我们可以看到多重判断的条件语句 username='admin' AND password='' or 1=1。我们用一个简单的方式来看待这条判断语句:
1 | (username='admin') AND ((password='') OR (1=1)); |
在这里我使用了 () 规划出了他们的运算顺序emmm… 其实我表达能力有限,不知道怎么以最简洁的语言来描述这比较简单逻辑运算,相信有点编程基础或数学基础的,都能看的懂吧。
位运算
1 | SELECT * FROM users WHERE id=1 and 1=1; |
上面的语句中 第一行与第二行没有区别 && 是 AND 的另一种表达形式。
而第三行的意思是 id=1 为 true 与 1进行位运算 结果还是1,再进行 = 操作( 1=1 ),结果还是1(ps: &优先级大于=)
此处进行的位运算。我们可以将数转换为二进制再进行与、或、非、异或等运算。必要的时候可以利用该方法进行诸如结果。例如将某一字符转换为ascii码后,可以分别与1,2,4,8,16,32等进行与运算,可以得到每一位的值,拼接起来就是ascii码值。再从ascii值反退回字符。
注入流程
判断注入类型 → 获取数据库名 → 获取数据库下的数据表名 → 获取当前数据表下的列名 → 获取数据
1 | -- 查询数据库名 |
系统数据库 information_schema
1 | -- 使用 information_schema 数据库 |
入门篇暂且到这里就结束了,细节篇暂且告一段落,万事开头难,对于新入门的小伙伴们,刚开始总是很迷茫的,面对着一箩筐一箩筐的知识,不知如何下手。往往学东西可能只掌握了表面,知其然而不知其所以然,
如果一件事情你不能讲清楚,十有八九你还没有完全理解。