1.总结SQL注入原理、SQL注入常用函数及含义,SQL注入防御手段,SQL注入常用绕过waf的方法
SQL 注入原理
SQL 注入(SQL Injection)是一种攻击手段,利用应用程序对用户输入处理不当,将恶意 SQL 代码注入到 SQL 查询中,从而操控数据库执行未授权的操作。攻击者通过注入恶意代码,可能导致数据泄露、数据篡改、甚至完全控制数据库服务器。
基本原理:
- 输入点:攻击者找到应用程序中的输入点(如登录框、搜索框、URL 参数等),这些输入点将用户输入传递到数据库查询中。
- 恶意注入:攻击者将恶意 SQL 代码插入到用户输入中,例如,通过在 SQL 查询中注入
OR '1'='1
来绕过认证。 - 执行:数据库将包含恶意代码的查询执行,并可能返回敏感信息或进行数据操作。
SQL 注入常用函数及含义
-
连接函数 (CONCAT, CONCAT_WS)
- CONCAT:连接多个字符串。
SELECT CONCAT('Hello ', 'World'); -- 返回 'Hello World'
- CONCAT:连接多个字符串。
-
字符串函数 (CHAR, ASCII)
- CHAR:返回 ASCII 值对应的字符。
SELECT CHAR(65); -- 返回 'A'
- ASCII:返回字符的 ASCII 值。
SELECT ASCII('A'); -- 返回 65
- CHAR:返回 ASCII 值对应的字符。
-
长度函数 (LENGTH, CHAR_LENGTH)
- LENGTH:返回字符串的字节长度。
SELECT LENGTH('Hello'); -- 返回 5
- LENGTH:返回字符串的字节长度。
-
版本函数 (VERSION)
- VERSION:返回数据库版本。
SELECT VERSION(); -- 返回数据库版本信息
- VERSION:返回数据库版本。
-
当前用户 (CURRENT_USER)
- CURRENT_USER:返回当前数据库用户。
SELECT CURRENT_USER(); -- 返回当前用户信息
- CURRENT_USER:返回当前数据库用户。
-
数据库名 (DATABASE)
- DATABASE:返回当前使用的数据库名称。
SELECT DATABASE(); -- 返回当前数据库名称
- DATABASE:返回当前使用的数据库名称。
-
错误函数 (ERROR, @@ERROR)
- @@ERROR:获取最近的 SQL 错误号。
SELECT @@ERROR; -- 返回最近错误的错误号
- @@ERROR:获取最近的 SQL 错误号。
-
日期时间函数 (NOW, CURDATE, CURTIME)
- NOW:返回当前日期和时间。
SELECT NOW(); -- 返回当前日期和时间
- NOW:返回当前日期和时间。
-
聚合函数 (COUNT, SUM, AVG)
- COUNT:计算行数。
SELECT COUNT(*) FROM table; -- 返回表中行的数量
- COUNT:计算行数。
SQL 注入防御手段
-
使用参数化查询:
- 通过预编译 SQL 查询,确保输入数据不会被当作 SQL 代码执行。
- 示例(使用 Python 的
sqlite3
):cursor.execute("SELECT * FROM users WHERE username = ?", (username,))
-
使用存储过程:
- 尽量将业务逻辑放在数据库中的存储过程中,避免直接在应用中构建 SQL 查询。
-
输入验证:
- 对所有用户输入进行严格的验证和过滤。只允许符合预期格式的输入通过。
- 示例:只允许字母和数字,通过正则表达式过滤其他字符。
-
最小权限原则:
- 限制数据库账户的权限,只赋予应用程序所需的最低权限,防止 SQL 注入攻击后造成严重损害。
-
错误处理:
- 避免将数据库错误信息直接显示给用户。应使用通用的错误消息,以防泄露数据库结构信息。
-
Web 应用防火墙 (WAF):
- 部署 WAF 以监控和过滤恶意 SQL 注入攻击。
SQL 注入常用绕过 WAF 的方法
-
编码绕过:
- 使用不同的编码方式(如 URL 编码、十六进制编码)来绕过 WAF 的检测。
- 示例:将
'
替换为%27
。
-
空格替代:
- 使用 SQL 的合法空格字符代替普通空格,如使用
CHAR(32)
。 - 示例:
SELECT%20*%20FROM%20users
代替SELECT * FROM users
。
- 使用 SQL 的合法空格字符代替普通空格,如使用
-
注释绕过:
- 在注入的 SQL 代码中使用注释符号来忽略后面的内容。
- 示例:
' OR 1=1--
-
SQL 关键字变形:
- 使用 SQL 关键字的别名或不同拼写形式来绕过 WAF。
- 示例:
UNION SELECT
可以被写作UNION ALL SELECT
。
-
时间延迟:
- 使用时间延迟函数(如
SLEEP
)来验证注入是否有效。 - 示例:
1' OR IF(1=1, SLEEP(5), 0)--
- 使用时间延迟函数(如
-
复杂 SQL 语法:
- 使用更复杂的 SQL 语法来绕过简单的 WAF 规则。
- 示例:
1' AND 1=1 UNION ALL SELECT NULL--
-
拼接绕过:
- 将 SQL 查询拼接成多条语句,绕过 WAF 的检测。
- 示例:
1' OR (SELECT 1 FROM dual WHERE 1=1)--
这些防御和绕过方法提供了对 SQL 注入攻击的全面理解。实现全面的安全策略可以有效减少 SQL 注入带来的风险。
2.总结SQLi的手工注入的步骤
手工 SQL 注入(SQLi)的步骤通常包括以下几个阶段:
1. 信息收集
- 识别输入点:找出 Web 应用程序中可以接收用户输入并影响 SQL 查询的地方,如登录框、搜索框、注册表单、URL 参数等。
- 应用程序分析:观察如何处理用户输入,理解应用程序和数据库之间的交互。
2. 测试注入点
- 基本测试:
- 在输入框中尝试简单的 SQL 注入负载,如
'
或"
来检查应用程序是否有 SQL 错误或异常行为。 - 示例:在登录表单的用户名字段中输入
' OR '1'='1
。
- 在输入框中尝试简单的 SQL 注入负载,如
- 错误消息分析:根据返回的错误消息,了解应用程序和数据库的结构,判断是否存在 SQL 注入漏洞。
3. 探测数据库信息
- 确定数据库类型:
- 使用特定于数据库的负载来检测数据库类型。
- 示例:
' UNION SELECT NULL, @@version --
(用于 MySQL)。
- 列出数据库:
- 通过注入 SQL 语句来获取数据库名称、表名称、列名称等。
- 示例:
' UNION SELECT NULL, table_name FROM information_schema.tables --
。
- 获取数据:
- 提取具体的数据,比如用户信息、表数据等。
- 示例:
' UNION SELECT username, password FROM users --
。
4. 数据提取
- 读取数据:
- 使用注入技术提取表中的数据。可能需要多次尝试不同的 payload 来获得数据。
- 示例:
' UNION SELECT column1, column2 FROM table_name --
。
- 自动化工具:有时可以使用自动化工具(如 SQLmap)来辅助数据提取,但手工操作通常用于绕过 WAF 或针对特定的安全机制。
5. 盲注
- 盲注技术:
- 布尔盲注:根据返回的结果是否发生变化来推测数据。
- 示例:
' AND 1=1 --
和' AND 1=2 --
,对比响应的变化。
- 示例:
- 时间盲注:使用数据库的时间延迟函数(如
SLEEP
)来判断条件是否为真。- 示例:
' AND IF(1=1, SLEEP(5), 0) --
。
- 示例:
- 布尔盲注:根据返回的结果是否发生变化来推测数据。
6. 绕过过滤
- 编码绕过:
- 使用 URL 编码、十六进制编码、双重编码等绕过过滤器。
- 示例:
%27
替代'
。
- 变形技术:
- 利用 SQL 语法的变形形式来绕过简单的过滤器。
- 示例:
UNION SELECT
可以被写作UNION ALL SELECT
。
7. 提升权限(如果可能)
- 权限提升:
- 如果获取的权限不足,可能会尝试利用 SQL 注入进一步提升权限。
- 示例:尝试获取系统管理员的权限或执行系统命令。
8. 清理痕迹
- 日志清理:
- 尽量减少留下的痕迹,以防止被检测到。
- 恢复原状:
- 如果测试环境中进行的注入尝试,确保数据被恢复到原始状态。
9. 报告和修复建议
- 记录漏洞:
- 详细记录发现的 SQL 注入漏洞,描述漏洞的性质和可能的影响。
- 提供修复建议:
- 提出修复建议,例如使用参数化查询、输入验证、最小权限原则等安全措施。
总结
手工 SQL 注入涉及识别漏洞、测试和探测、数据提取、绕过保护机制、权限提升和漏洞清理等步骤。每一步都需要根据应用程序的实际情况进行调整,确保发现和利用 SQL 注入漏洞时尽量避免对目标系统造成损害。