实训Day5

一、总结SQL注入原理、SQL注入常用函数及含义，SQL注入防御手段，SQL注入常用绕过waf的方法

（一）、SQL注入原理

SQL注入是发生在Web程序中数据库层的安全漏洞，是网站存在最多也是最简单的漏洞之一。其原理主要是攻击者通过在用户输入的字符串中加入SQL语句，如果设计不良的程序忽略了检查，这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行，攻击者就可以执行计划外的命令或访问未被授权的数据。

恶意拼接查询：攻击者可以在传入的参数中嵌入恶意的SQL语句，如使用分号来分隔不同的命令，以此实现非法操作。

利用注释执行非法命令：通过在SQL语句中插入注释，隐藏或修改原本的SQL语句，使其执行非法的命令。

忽略引号处理：如果输入的字符串参数包含单引号而没有被正确处理，可能会篡改原本的SQL语句的作用。

（二）、SQL注入常用函数及含义

concat()：拼接字符串，直接拼接，字符之间没有符号。

concat_ws()：指定符号进行字符串拼接。

group_concat()：将多个列的值以逗号分隔的方式连接成一个字符串。

length()：返回指定对象的长度，如数据库名的长度。

left()和right()：分别从字符串的左端或右端开始，返回指定长度的字符。

substr()和substring()：截取字符串的一部分。

ascii()：返回字符串最左字符的ASCII值。

sleep()：使数据库暂停执行指定的时间（秒），常用于盲注攻击中测试响应时间。

if()：根据条件执行不同的SQL语句，常用于条件判断。

updatexml()和extractvalue()：这两个函数常用于通过XML解析错误来报错注入，从而获取数据库信息。

load_file()：读取服务器上的文件，需要相应的权限。

（三）、SQL注入防御手段

对用户进行分级管理：严格控制用户的权限，禁止普通用户进行数据库的建立、删除、修改等操作。

使用参数化查询：在书写SQL语句时，通过设置相应的参数来传递变量，避免将变量直接嵌入SQL语句中。

输入验证：对用户输入进行严格的验证和过滤，特别是单引号、双引号、冒号等特殊字符。

使用安全参数：在数据库设计时设置专门的SQL安全参数，以增强系统的安全性。

定期扫描和检测：使用专业的扫描工具定期扫描系统，及时发现并修复存在的SQL注入漏洞。

多层验证：在客户端和服务器端都进行输入验证，确保数据的安全性。

数据库信息加密：对敏感信息进行加密存储，即使数据库被攻破，攻击者也无法直接获取明文信息。

（四）、SQL注入常用绕过waf的方法

注释符号绕过：使用SQL注释符号（如--、/**/、#）来隐藏恶意SQL代码，使其不会被WAF识别或过滤。

编码绕过：使用URL编码、Unicode编码等方式来隐藏恶意SQL代码，使其绕过WAF的检测。

大小写绕过：利用数据库系统对大小写不敏感的特性，将SQL关键字改写为大小写混合形式，绕过基于大小写的过滤器。

特殊字符绕过：通过构造特殊的SQL语句或使用引号等字符来绕过WAF的检测。

逻辑漏洞绕过：利用应用程序或数据库的逻辑漏洞，使用盲注技术等手段绕过WAF的检测。

二、sqli-labs通关前5关，并写出解题步骤，必须手工过关，禁止使用sqlmap

（一）、第一关

判断是否存在sql注入

判断sql语句是否是拼接，且是字符型还是数字型

首先知道表格有几列，如果报错就是超过列数，如果显示正常就是没有超出列数。

爆出显示位

获取当前数据名和版本号

爆表

爆字段名

通过上述操作可以得到两个敏感字段就是username和password,接下来得到该字段对应的内容。

（二）、第二关

输入单引号可以看到报错，报错信息看不到数字，sql语句应该是数字型注入

测试到第 4 列无回显，说明表中一共有 3 列

判断数据显示点

数据库名

表

users表字段

用户、密码、内容

（三）、第三关

输入?id=1'的时候看到页面报错信息。可推断sql语句是单引号字符型且有括号，所以我们需要闭合单引号且也要考虑括号

使用order by 判断数据库有几列：3列回显正常，4列出现报错，说明只有3列

使用联合查询union select 判断回显位置

爆数据库名

表名

users表字段

用户、密码、内容

（四）、第四关

这关输入id=1'是不会报错，字段本身是int类型

找列数

确定哪个字段有回显

确定当前数据库

爆出当前数据库内的所有表名

爆出当前数据库user表的所有列名

爆出当前数据库user表所有username和password

（五）、第五关

爆库名

爆表名

只有1列 加入参数

爆列名

爆出数据

三、总结SQLi的手工注入的步骤

1.判断有无注入点

目标：确定应用程序是否容易受到SQL注入攻击。

方法：

尝试在输入字段中插入单引号（'）或特殊SQL字符（如AND、OR等），并观察应用程序的响应。

如果应用程序返回数据库错误消息或行为异常（如不同的查询结果），则可能存在注入点。

2. 猜解列名数量

目标：确定数据库查询结果中的列数，以便构造有效的UNION SELECT语句。

方法：

使用ORDER BY子句逐渐增加数字，直到应用程序返回错误，前一个数字即为列数。

例如，尝试ORDER BY 1、ORDER BY 2等，直到出现错误。

3.通过报错方式判断回显点

目标：确定哪些列可以被用来显示注入的查询结果。

方法：

构造一个导致数据库错误的查询，如使用不存在的列名，并观察错误消息中是否包含敏感信息。

如果错误消息中显示了敏感信息，或者应用程序在特定列中显示了注入的查询结果，则这些列可以被用作回显点。

4.使用UNION SELECT收集信息

目标：利用UNION SELECT语句从数据库中检索敏感信息。

方法：

构造一个UNION SELECT语句，将原始的查询结果替换为注入的查询结果。

确保UNION SELECT语句中的列数与原始查询的列数相匹配。

使用系统表（如information_schema.tables、information_schema.columns）来检索数据库架构信息，如数据库名、表名、列名等。

5.爆库、爆表、爆字段

目标：逐步获取数据库的完整架构信息。

方法：

爆库：使用database()函数或查询information_schema.schemata表来获取数据库名。

爆表：查询information_schema.tables表以获取指定数据库中的所有表名。

爆字段：查询information_schema.columns表以获取指定表中的所有列名。

6.提取敏感数据

目标：从数据库中检索具体的敏感数据，如用户密码、个人信息等。

方法：

使用前面获取的表名和列名，构造SELECT语句来检索具体的数据。

可以使用CONCAT()、GROUP_CONCAT()等函数来合并和显示多个字段的数据。

四、使用sqlmap通过或验证第六关

sqlmap

进行扫描

获取数据库

获取表名

获取列名

获取数据

手工注入

查询数据库

查询数据库

查看users表下字段

查看字段下所有数据