SQL注入常见类型及注入点的判断

常见的SQL注入种类：

联合注入

攻击者使用UNION SQL运算符将多个SELECT语句合并为一，获取包含所需数据的单个HTTP响应。

报错注入

数据库查询返回结果并没有在页面中显示，但是应用程序将数据库报错信息打印到了页面中，所以攻击者可以构造数据库报错语句，从报错信息中获取想要获得的内容。

盲注

数据库查询结果无法从直观页面中获取，攻击者通过使用数据库逻辑或使数据库库执行延时等方法获取想要获得的内容。

(1)时间盲注

常用函数 sleep()

分割函数 substr、substring、left

分割函数编码后可不用引号，ascii() hex()

一般时间盲注我们还需要使用条件判断函数

if（expre1，expre2，expre3）

当 expre1 为 true 时，返回 expre2，false 时，返回 expre3

(2).布尔盲注

这种注入会出现在 注册、ip头、留言板等等需要写入数据的地方，如用sqlmap会产生大量垃圾数据。尝试性插入、引号、双引号、转义符 \ 让语句不能正常执行，然后如果插入失败，更新失败，然后深入测试确定是否存在注入。

二次注入：

sql语句的变量并不是直接传入的变量，而是通过其它的方式保存到了数据库，形成二次注入。没有单引号的sql语句中，进行16进制编码，这样就不会带有单引号。

宽字节注入：

字符注入的时候我们需要逃逸单引号，但是php提供了魔术引号开关magic_quotes_gpc和addslashes()，iconv()函数作为防御，特点是自动给传入的参数如单引号，双引号，反斜杠，%00前面加一个反斜杠，进行转义，避免单引号进行逃逸。单引号转义为 ‘ , mysql 会将 \ 编码为 %5c ，宽字节中两个字节代表一个汉字，所以把 %df 加上 %5c 就变成了一个汉字“運”，从而绕过转义。如果数据库是GBK格式而非默认的UTF-8格式，则我们利用两个url编码是一个汉字的特点，组合一个汉字从而解决”\“问题，完成单引号的逃逸。

数字型注入

当我们访问页面时经常会出现http:xxx.admin.com?id=1这种形式的url，这个时候我们输入and 1=1与and 1=2,进行判定看是否会出现and 1=1回显正常，and 1=2回显不正常的情况。如果出现了我们一般就认为这里存在注入，并且是数字型注入。如果没有出现那么并不能排查这里没有注入，只是排除这里不存在数字型的注入。

字符型注入

url后输入’ and 1=1 and ‘1’=’1，’ and 1=2 and ‘1’=’1。看是否会出现报错的现象。如果存在我们可以进一步的闭合我们的语句。

HTTP头部注入

user-agent:判定用户使用的操作系统，以及使用的浏览器的版本。

cookie:判定用户的身份，进行session跟踪可以存储在用户本地终端上的数据，简单理解为用户的一张身份辨别卡。

x-forwarded-for:是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

client-ip: 数据库保存客户端IP的参数。

rerferer:浏览器向web端表明自己从哪个连接而来。

host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号。

此外，还有GET注入、POST注入、Cookie注入等

SQL注入漏洞产生的原因

产生原因：（过于信任用户，导致对用户输入信息没有过滤，那么用户就可以输入一些恶意代码导致数据库异常查询，从而产生了输入问题）

1. 不安全的数据库查询编写：开发者在编写SQL查询时，未对输入进行适当的验证或清理，导致恶意SQL代码被执行。

2. 数据库权限过分：即使查询是安全的，如果数据库用户拥有过度权限（例如，具有管理员权限），攻击者仍然可以利用这些权限执行恶意操作。

---

SQL注入攻击流程

1. 判断注入点

2. 判断注入点类型

3. 判断数据库类型

4. 获取数据库数据库，提权

1. 判断SQL注入点

找注入点是最关键,也最基础的一个环节

本质原理是: 找一个需要后台处理后，提交给数据库的点
所有的输入只要和数据库进行交互的，都有可能触发SQL注入

一般为三大类：

1.Get参数触发SQL注入
2.POST参数触发SQL注入
3.Cookie触发SQL注入

例如:

在常规的链接的参数中( 链接?参数) 找形如 ?id=num的搜索框

而验证是否存在注入点的方法有很多种
最常规,也最简单的方法，引入单引号判断是否存在注入点

http://sqli-labs:8080/less-1/?id=1' 返回错误说明有可能注入

http://sqli-labs:8080/less-1/?id=1 and 1=1 返回正常

http://sqli-labs:8080/less-1/?id=1 and 1=2返回错误

如果满足上面三点，是注入点的可能性就很高了

找到注入点之后就是

2.判断注入类型

0x01 数字型注入点

测试方法：

http://sqli-labs:8080/less-1/?id=1 and 1=1 返回成功

http://sqli-labs:8080/less-1/?id=1 and 1=2 返回失败

为什么第一个会返回成功，而第二个是返回失败呢？

原因如下：

假设我们网站的SQL查询的语句是这样的
SELECT * FROM news WHERE id=$id
这里的$id是用户提交的

当我们输入的是
1 and 1=1
语句就变成了这样
SELECT * FROM news WHERE id=1 and 1=1

这个SQL语句and左边是返回成功的，因为我们是在有这个id的情况下后面加上我们的注入语句，如果这个id不存在，那就没法测试了

而在and右边，1=1也是恒成立的，所以整个语句返回的是成功

当然，如果后面改成了1=2的话，因为1=2是不成立的，and语句的判断逻辑是只要有一个不成立，就返回失败，所以1=2最后会返回的是失败

0x02 字符型注入点
测试方法：

http://sqli-labs:8080/less-1/?name=man' and '1'='1 返回成功

http://sqli-labs:8080/less-1/?name=man' and '1'='2返回失败

这里就使上面的数字型变为了字符型

原因如下：

还是假设我们网站的SQL语句是这样的
SELECT * FROM news WHERE name='$name'
当我们构造输入为下面这个的时候
man' and '1'='1
语句就变成了
SELECT * FROM news WHERE name='man' and '1'='1'

发现什么了没？这个SQL已经闭合了

还是一样的，这里and的左边是一定成立的，而and右边也是一样的成立，所以and逻辑之后，整个语句返回成功
同理可知如果后面是1'='2就会返回失败，当然，这里不一定非要是1或者2，因为是字符型，所以我们可以输入任何字符

比如这样

http://sqli-labs:8080/less-1/?name=man' and 'a'='a 返回成功
http://sqli-labs:8080/less-1/?name=man' and 'a'='b返回失败

---

0x03 搜索型注入点 — 目前常见的

测试方法

http://sqli-labs:8080/less-1/?keyword=python%' and 1=1 and '%'='

http://sqli-labs:8080/less-1/?keyword=python%' and 1=2 and '%'='

假设我们的SQL查询语句是这样的

SELECT * FROM news WHERE keyword like '%$keyword%'

这里的$keyword是用户的输入

当我们输入以下语句的时候
pt%' and 1=1 and '%'='
最终我们得到的语句是这样的
SELECT * FROM news WHERE keyword like '%pt%' and 1=1 and '%'='%'
这个语句又一次的闭合了

这里我们再分析以下，因为是and逻辑，只要有一个错误，就返回错误

我们可以把这个语句分为三段

SELECT * FROM news WHERE keyword like '%python%'

and 1=1

and '%'='%'

第一行的语句肯定是成功（再强调一遍，我们要在存在的查询上构造SQL注入）

第二句也是，第三句也是，因为自己肯定等于自己啊

但是如果我们把第二句换成1=2，那么这个语句肯定就会返回失败了，就是这个原理

---

0x04 内联式SQL注入 –常用

内联注入是指查询注入SQL代码后，原来的查询仍然全部执行

假设我们的网站SQL查询语句是这样的

SELECT * FROM admin WHERE username='$name' AND password ='$passwd'

这一看就是个登录页面的代码

假如我们构造如下语句提交到登录框中的username

' or ''='

或者提交到password框里面，这两种提交方法是不一样的，我们下面就来分析一下这两个提交方法

提交到username我们的语句就会成为这样

SELECT * FROM admin WHERE username='' or ''='' AND password ='fuzz'

fuzz是我们随便输入的字符串

而提交到password则会是这样的

SELECT * FROM admin WHERE username='fuzz' AND password ='' or ''=''

注:

在 SQL语句中， AND的优先级是大于 OR的
先计算 AND，然后计算 OR，所以这里我们的语句会被 OR分为两段 SQL语句

这是username框的

SELECT * FROM admin WHERE username=''

or

''='' AND password ='fuzz'

或者password框的是这样

SELECT * FROM admin WHERE username='fuzz' AND password =''

or

''=''

我们首先用第一个来分析

首先计算AND之后

SELECT * FROM admin WHERE username=''返回失败

or

''='' AND password ='fuzz'返回失败

数据库是不会存在username为NULL的字段的，所以第一句返回的是失败，第三句中，因为password是我们随便输入的，99.99%是不会存在这个密码的，于是AND之后，我们的第三句也是失败的，所以整个语句返回失败的

但是我们的password情况就不一样了

SELECT * FROM admin WHERE username='fuzz' AND password =''

or

''=''

这里我们第一句是返回失败的，但是我们的第二句''=''是返回成功的，OR逻辑是有一个是成功就返回成功，于是我们的整个语句就会返回成功

返回成功之后我们就会绕过登录表单直接登录系统了

0x05 终止式SQL注入 —常用

终止式SQL语句注入是指攻击者在注入SQL代码时，通过注释剩下的查询来成功结束该语句

于是被注释的查询不会被执行，我们还是拿上面那个例子举例

我们上面已经知道，在username框内填入

' or ''='

程序是不会返回成功的，我们就没有办法在username做文章了吗？

错了，我们还有终止式

还是上面那个SQL查询语句

SELECT * FROM admin WHERE username='$name' AND password ='$passwd'

这里我们构造如下username输入

' or ''='' --

之后我们就可以得到如下的查询语句

SELECT * FROM admin WHERE username='' or ''='' --' AND password ='fuzz'

这里的fuzz是我们随便输入的，--是注释符

这样，我们的语句就可以分为三个部分了

SELECT * FROM admin WHERE username=''

or ''='' 返回成功

--' AND password ='fuzz'

第一句肯定是返回失败的，但是我们第二句会返回成功

后面已经被我们注释掉了，是不会执行的，所以我们还是可以通过在username做这个手脚来绕过登录

下面是我们常见的一些终止方式

终止字符串：

-- ， #， %23， %00， /*

终止方法：

--,、'--、')--、)--、'))、--、))--