文中详细讲解web安全之SQL注入,通过文中内容更加深入的掌握SQL注入的原理及检测方法,从而更好的用于渗透测试中;文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。
web安全之SQL注入(二)
union select 联合查询注入
原理
在联合注入中,通常我们会通过union select 来联合注入语句进行查询。
select * from users where user_id=1
当我们使用union select 来进行联合注入时,如果两边的字段不一致时,则会报错。
这里我们的users表和guestbook表里面的字段就不一致,所以出现报错。
在我们mysql中可以使用1,2,3,4,5,6这样来代表字段数,但在这之前需要先判断字段数。
通过判断有8个字段,两边字段相同,则显示正确页面。
select * from users where user_id=1 order by 8
当我们将这些数字替换成mysql中的一个内置函数,则可以出现我们需要的数据。
select * from users where user_id=1 union select 1,2,3,user(),5,6,7,8
同样我们也可以直接猜解这里面的字段。
select * from users where user_id=1 union select 1,2,3,4,5,6,user,password from users
如果我们需要只需要显示某一行,则同样可以利用limit来控制,且通常我们会将前面的数据用负数或这NULL来,因为select * from users where user_id=1这个语句是存在记录的,所以我们需要将这个换成不存在的记录,这样就便于来显示我们后面语句所获得的数据。
select * from users where user_id=-1 union select 1,2,3,4,5,6,user,password from users limit 0,1
limit用法,当如果需要只显示某一行,那可以使用limit 1,1 limit 2,1这样的语法。
limit 1 = limit 0,1 #代表显示一行
limit 2 = limit 0,2 #代表显示两行
limit 1,1 #代表显示第二行。
代码分析
了解上面的原理后,在通过SQL注入漏洞的代码来进行分析。
漏洞演示
分析源码后,符合我们SQL注入漏洞产生两个条件,我们就可以利用学到的联合查询,来进行测试。
我们在分析中,存在报错函数,且在输入中没有任何的过滤,所以这里可以直接进行单引号来测试。
当我们使用单引号的时,就直接返回了我们报错的信息。判断可能此处存在注入。
因为分析出来是字符型,所以需要在判断时用引号。
?id=1' and '1'='1' -- &Submit=Submit#
?id=1' and '1'='2 &Submit=Submit#
这里我使用了两种方式来测试,主要就是为了说明这个闭合的问题,在上面的源码中可以看出这个id后面是还有一个单引号,所以当我们把单引号都写上时,则需要使用注释,目的就是为了注释原本代码中的单引号,如果后面没写单引号,程序就会把代码中的单引号与我们的输入的语句进行闭合,因此这就是加不加注释的原理。
可以看出两次结果完全不同,基本可以确认存在注入,然后直接使用联合查询来获取数据。
我们也可以使用分组打印字符串把所有的内置函数打印出来。
?id=-1' union select 1,group_concat(user(),0x3A,database(),0x3A,version())--
因为在MySQL的版本5以上,都是存在一个information_schema自带库,里面存在所有库名,表名,字段名,所以我们可以联合这个库在进行查询,这种语法就不多做介绍了。