要系统学习SQL注入了,主要以安全牛课堂上的Kali实战-Web渗透为主要学习资料。
SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行。《SQL注入攻击与防御(第2版)》
以下注入式使用dvwa进行测试,DVWA Security设置为low
SQL注入检测: 主要有基于报错的检测方法和基于布尔的检测方法。
1. 基于报错的检测方法:常使用单引号’进行测试。
输入单引号之后,sql语句拼接为
select firstname,surname from users where id='''
可以发现引号是不闭合的,因此报如下错误:
这就说明,客户端将我们的输入传到了sql服务器,并且sql服务器使用我们的输入拼接了sql语句并执行,初步判断,存在sql注入漏洞。
2. 基于布尔的检测方法:
- 1’ and ‘1’=’1
输入1’ and ‘1’=’1之后,sql语句拼接为
select firstname,surname from users where id='1' and '1'='1'
取决于id=’1’的真假
- 1’ and ‘1’=’2
输入1’ and ‘1’=’2之后,sql语句拼接为
select firstname,surname from users where id='1' and '1'='2'
一定是假,不会查询出结果
在确定系统存在sql注入漏洞之后,需要当前查询语句查询了几个字段
常用order by 10
select firstname,surname from users where id='' order by 10 -- '
结果表示当前查询字段数小于10
最后试到order by 2
不报错,说明,当前只查询了两个字段。
--
在sql语句中表示注释,因此使用--
将最后一个未闭合的引号注释掉
联合查询
系统函数:
database(): 显示当前数据库的名称
version(): 显示数据库版本
user(): 显示登陆数据库的用户
全局函数:
@@datadir: 显示当前数据库文件位置
@@hostname: 主机名
@@version: 数据库版本
@@version_compile_os: 操作系统版本
ASCII转字符: char()
连接字符串: concat_ws(char(32,58,32),user(),database().version()) //用char(32,58,32)连接user(),database(),version()
关于information_schema的知识点,请见我另一篇博客:information_schema用法