第五次集中实习

1.总结SQL注入原理、SQL注入常用函数及含义，SQL注入防御手段，SQL注入常用绕过waf的方法

SQL 注入原理

SQL 注入（SQL Injection）是一种攻击手段，利用应用程序对用户输入处理不当，将恶意 SQL 代码注入到 SQL 查询中，从而操控数据库执行未授权的操作。攻击者通过注入恶意代码，可能导致数据泄露、数据篡改、甚至完全控制数据库服务器。

基本原理：

1. 输入点：攻击者找到应用程序中的输入点（如登录框、搜索框、URL 参数等），这些输入点将用户输入传递到数据库查询中。
2. 恶意注入：攻击者将恶意 SQL 代码插入到用户输入中，例如，通过在 SQL 查询中注入 OR '1'='1 来绕过认证。
3. 执行：数据库将包含恶意代码的查询执行，并可能返回敏感信息或进行数据操作。

SQL 注入常用函数及含义

1. 连接函数 (CONCAT, CONCAT_WS)

   • CONCAT：连接多个字符串。

     SELECT CONCAT('Hello ', 'World'); -- 返回 'Hello World'
     

2. 字符串函数 (CHAR, ASCII)

   • CHAR：返回 ASCII 值对应的字符。

     SELECT CHAR(65); -- 返回 'A'
     

   • ASCII：返回字符的 ASCII 值。

     SELECT ASCII('A'); -- 返回 65
     

3. 长度函数 (LENGTH, CHAR_LENGTH)

   • LENGTH：返回字符串的字节长度。

     SELECT LENGTH('Hello'); -- 返回 5
     

4. 版本函数 (VERSION)

   • VERSION：返回数据库版本。

     SELECT VERSION(); -- 返回数据库版本信息
     

5. 当前用户 (CURRENT_USER)

   • CURRENT_USER：返回当前数据库用户。

     SELECT CURRENT_USER(); -- 返回当前用户信息
     

6. 数据库名 (DATABASE)

   • DATABASE：返回当前使用的数据库名称。

     SELECT DATABASE(); -- 返回当前数据库名称
     

7. 错误函数 (ERROR, @@ERROR)

   • @@ERROR：获取最近的 SQL 错误号。

     SELECT @@ERROR; -- 返回最近错误的错误号
     

8. 日期时间函数 (NOW, CURDATE, CURTIME)

   • NOW：返回当前日期和时间。

     SELECT NOW(); -- 返回当前日期和时间
     

9. 聚合函数 (COUNT, SUM, AVG)

   • COUNT：计算行数。

     SELECT COUNT(*) FROM table; -- 返回表中行的数量
     

SQL 注入防御手段

1. 使用参数化查询：

   • 通过预编译 SQL 查询，确保输入数据不会被当作 SQL 代码执行。
   • 示例（使用 Python 的 sqlite3）：

     cursor.execute("SELECT * FROM users WHERE username = ?", (username,))
     

2. 使用存储过程：

   • 尽量将业务逻辑放在数据库中的存储过程中，避免直接在应用中构建 SQL 查询。

3. 输入验证：

   • 对所有用户输入进行严格的验证和过滤。只允许符合预期格式的输入通过。
   • 示例：只允许字母和数字，通过正则表达式过滤其他字符。

4. 最小权限原则：

   • 限制数据库账户的权限，只赋予应用程序所需的最低权限，防止 SQL 注入攻击后造成严重损害。

5. 错误处理：

   • 避免将数据库错误信息直接显示给用户。应使用通用的错误消息，以防泄露数据库结构信息。

6. Web 应用防火墙 (WAF)：

   • 部署 WAF 以监控和过滤恶意 SQL 注入攻击。

SQL 注入常用绕过 WAF 的方法

1. 编码绕过：

   • 使用不同的编码方式（如 URL 编码、十六进制编码）来绕过 WAF 的检测。
   • 示例：将 ' 替换为 %27。

2. 空格替代：

   • 使用 SQL 的合法空格字符代替普通空格，如使用 CHAR(32)。
   • 示例：SELECT%20*%20FROM%20users 代替 SELECT * FROM users。

3. 注释绕过：

   • 在注入的 SQL 代码中使用注释符号来忽略后面的内容。
   • 示例：' OR 1=1--

4. SQL 关键字变形：

   • 使用 SQL 关键字的别名或不同拼写形式来绕过 WAF。
   • 示例：UNION SELECT 可以被写作 UNION ALL SELECT。

5. 时间延迟：

   • 使用时间延迟函数（如 SLEEP）来验证注入是否有效。
   • 示例：1' OR IF(1=1, SLEEP(5), 0)--

6. 复杂 SQL 语法：

   • 使用更复杂的 SQL 语法来绕过简单的 WAF 规则。
   • 示例：1' AND 1=1 UNION ALL SELECT NULL--

7. 拼接绕过：

   • 将 SQL 查询拼接成多条语句，绕过 WAF 的检测。
   • 示例：1' OR (SELECT 1 FROM dual WHERE 1=1)--

这些防御和绕过方法提供了对 SQL 注入攻击的全面理解。实现全面的安全策略可以有效减少 SQL 注入带来的风险。

2.总结SQLi的手工注入的步骤

手工 SQL 注入（SQLi）的步骤通常包括以下几个阶段：

1. 信息收集

• 识别输入点：找出 Web 应用程序中可以接收用户输入并影响 SQL 查询的地方，如登录框、搜索框、注册表单、URL 参数等。
• 应用程序分析：观察如何处理用户输入，理解应用程序和数据库之间的交互。

2. 测试注入点

• 基本测试：
  • 在输入框中尝试简单的 SQL 注入负载，如 ' 或 " 来检查应用程序是否有 SQL 错误或异常行为。
  • 示例：在登录表单的用户名字段中输入 ' OR '1'='1。
• 错误消息分析：根据返回的错误消息，了解应用程序和数据库的结构，判断是否存在 SQL 注入漏洞。

3. 探测数据库信息

• 确定数据库类型：
  • 使用特定于数据库的负载来检测数据库类型。
  • 示例：' UNION SELECT NULL, @@version --（用于 MySQL）。
• 列出数据库：
  • 通过注入 SQL 语句来获取数据库名称、表名称、列名称等。
  • 示例：' UNION SELECT NULL, table_name FROM information_schema.tables --。
• 获取数据：
  • 提取具体的数据，比如用户信息、表数据等。
  • 示例：' UNION SELECT username, password FROM users --。

4. 数据提取

• 读取数据：
  • 使用注入技术提取表中的数据。可能需要多次尝试不同的 payload 来获得数据。
  • 示例：' UNION SELECT column1, column2 FROM table_name --。
• 自动化工具：有时可以使用自动化工具（如 SQLmap）来辅助数据提取，但手工操作通常用于绕过 WAF 或针对特定的安全机制。

5. 盲注

• 盲注技术：
  • 布尔盲注：根据返回的结果是否发生变化来推测数据。
    • 示例：' AND 1=1 -- 和 ' AND 1=2 --，对比响应的变化。
  • 时间盲注：使用数据库的时间延迟函数（如 SLEEP）来判断条件是否为真。
    • 示例：' AND IF(1=1, SLEEP(5), 0) --。

6. 绕过过滤

• 编码绕过：
  • 使用 URL 编码、十六进制编码、双重编码等绕过过滤器。
  • 示例：%27 替代 '。
• 变形技术：
  • 利用 SQL 语法的变形形式来绕过简单的过滤器。
  • 示例：UNION SELECT 可以被写作 UNION ALL SELECT。

7. 提升权限（如果可能）

• 权限提升：
  • 如果获取的权限不足，可能会尝试利用 SQL 注入进一步提升权限。
  • 示例：尝试获取系统管理员的权限或执行系统命令。

8. 清理痕迹

• 日志清理：
  • 尽量减少留下的痕迹，以防止被检测到。
• 恢复原状：
  • 如果测试环境中进行的注入尝试，确保数据被恢复到原始状态。

9. 报告和修复建议

• 记录漏洞：
  • 详细记录发现的 SQL 注入漏洞，描述漏洞的性质和可能的影响。
• 提供修复建议：
  • 提出修复建议，例如使用参数化查询、输入验证、最小权限原则等安全措施。

总结

手工 SQL 注入涉及识别漏洞、测试和探测、数据提取、绕过保护机制、权限提升和漏洞清理等步骤。每一步都需要根据应用程序的实际情况进行调整，确保发现和利用 SQL 注入漏洞时尽量避免对目标系统造成损害。