一、总结SQL注入原理、SQL注入常用函数及含义,SQL注入防御手段,SQL注入常用绕过waf的方法
(一)、SQL注入原理
SQL注入是发生在Web程序中数据库层的安全漏洞,是网站存在最多也是最简单的漏洞之一。其原理主要是攻击者通过在用户输入的字符串中加入SQL语句,如果设计不良的程序忽略了检查,这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或访问未被授权的数据。
恶意拼接查询:攻击者可以在传入的参数中嵌入恶意的SQL语句,如使用分号来分隔不同的命令,以此实现非法操作。
利用注释执行非法命令:通过在SQL语句中插入注释,隐藏或修改原本的SQL语句,使其执行非法的命令。
忽略引号处理:如果输入的字符串参数包含单引号而没有被正确处理,可能会篡改原本的SQL语句的作用。
(二)、SQL注入常用函数及含义
concat():拼接字符串,直接拼接,字符之间没有符号。
concat_ws():指定符号进行字符串拼接。
group_concat():将多个列的值以逗号分隔的方式连接成一个字符串。
length():返回指定对象的长度,如数据库名的长度。
left()和right():分别从字符串的左端或右端开始,返回指定长度的字符。
substr()和substring():截取字符串的一部分。
ascii():返回字符串最左字符的ASCII值。
sleep():使数据库暂停执行指定的时间(秒),常用于盲注攻击中测试响应时间。
if():根据条件执行不同的SQL语句,常用于条件判断。
updatexml()和extractvalue():这两个函数常用于通过XML解析错误来报错注入,从而获取数据库信息。
load_file():读取服务器上的文件,需要相应的权限。
(三)、SQL注入防御手段
对用户进行分级管理:严格控制用户的权限,禁止普通用户进行数据库的建立、删除、修改等操作。
使用参数化查询:在书写SQL语句时,通过设置相应的参数来传递变量,避免将变量直接嵌入SQL语句中。
输入验证:对用户输入进行严格的验证和过滤,特别是单引号、双引号、冒号等特殊字符。
使用安全参数:在数据库设计时设置专门的SQL安全参数,以增强系统的安全性。
定期扫描和检测:使用专业的扫描工具定期扫描系统,及时发现并修复存在的SQL注入漏洞。
多层验证:在客户端和服务器端都进行输入验证,确保数据的安全性。
数据库信息加密:对敏感信息进行加密存储,即使数据库被攻破,攻击者也无法直接获取明文信息。
(四)、SQL注入常用绕过waf的方法
注释符号绕过:使用SQL注释符号(如--、/**/、#)来隐藏恶意SQL代码,使其不会被WAF识别或过滤。
编码绕过:使用URL编码、Unicode编码等方式来隐藏恶意SQL代码,使其绕过WAF的检测。
大小写绕过:利用数据库系统对大小写不敏感的特性,将SQL关键字改写为大小写混合形式,绕过基于大小写的过滤器。
特殊字符绕过:通过构造特殊的SQL语句或使用引号等字符来绕过WAF的检测。
逻辑漏洞绕过:利用应用程序或数据库的逻辑漏洞,使用盲注技术等手段绕过WAF的检测。
二、sqli-labs通关前5关,并写出解题步骤,必须手工过关,禁止使用sqlmap
(一)、第一关
判断是否存在sql注入
判断sql语句是否是拼接,且是字符型还是数字型
首先知道表格有几列,如果报错就是超过列数,如果显示正常就是没有超出列数。
爆出显示位
获取当前数据名和版本号
爆表
爆字段名
通过上述操作可以得到两个敏感字段就是username和password,接下来得到该字段对应的内容。
(二)、第二关
输入单引号可以看到报错,报错信息看不到数字,sql语句应该是数字型注入
测试到第 4 列无回显,说明表中一共有 3 列
判断数据显示点
数据库名
表
users表字段
用户、密码、内容
(三)、第三关
输入?id=1'的时候看到页面报错信息。可推断sql语句是单引号字符型且有括号,所以我们需要闭合单引号且也要考虑括号
使用order by 判断数据库有几列:3列回显正常,4列出现报错,说明只有3列
使用联合查询union select 判断回显位置
爆数据库名
表名
users表字段
用户、密码、内容
(四)、第四关
这关输入id=1'是不会报错,字段本身是int类型
找列数
确定哪个字段有回显
确定当前数据库
爆出当前数据库内的所有表名
爆出当前数据库user表的所有列名
爆出当前数据库user表所有username和password
(五)、第五关
爆库名
爆表名
只有1列 加入参数
爆列名
爆出数据
三、总结SQLi的手工注入的步骤
1.判断有无注入点
目标:确定应用程序是否容易受到SQL注入攻击。
方法:
尝试在输入字段中插入单引号(')或特殊SQL字符(如AND、OR等),并观察应用程序的响应。
如果应用程序返回数据库错误消息或行为异常(如不同的查询结果),则可能存在注入点。
2. 猜解列名数量
目标:确定数据库查询结果中的列数,以便构造有效的UNION SELECT语句。
方法:
使用ORDER BY子句逐渐增加数字,直到应用程序返回错误,前一个数字即为列数。
例如,尝试ORDER BY 1、ORDER BY 2等,直到出现错误。
3.通过报错方式判断回显点
目标:确定哪些列可以被用来显示注入的查询结果。
方法:
构造一个导致数据库错误的查询,如使用不存在的列名,并观察错误消息中是否包含敏感信息。
如果错误消息中显示了敏感信息,或者应用程序在特定列中显示了注入的查询结果,则这些列可以被用作回显点。
4.使用UNION SELECT收集信息
目标:利用UNION SELECT语句从数据库中检索敏感信息。
方法:
构造一个UNION SELECT语句,将原始的查询结果替换为注入的查询结果。
确保UNION SELECT语句中的列数与原始查询的列数相匹配。
使用系统表(如information_schema.tables、information_schema.columns)来检索数据库架构信息,如数据库名、表名、列名等。
5.爆库、爆表、爆字段
目标:逐步获取数据库的完整架构信息。
方法:
爆库:使用database()函数或查询information_schema.schemata表来获取数据库名。
爆表:查询information_schema.tables表以获取指定数据库中的所有表名。
爆字段:查询information_schema.columns表以获取指定表中的所有列名。
6.提取敏感数据
目标:从数据库中检索具体的敏感数据,如用户密码、个人信息等。
方法:
使用前面获取的表名和列名,构造SELECT语句来检索具体的数据。
可以使用CONCAT()、GROUP_CONCAT()等函数来合并和显示多个字段的数据。
四、使用sqlmap通过或验证第六关
sqlmap
进行扫描
获取数据库
获取表名
获取列名
获取数据
手工注入
查询数据库
查询数据库
查看users表下字段
查看字段下所有数据