什么是SQL注入
SQL注入是发生在web端的安全漏洞,实现非法操作,欺骗服务器执行非法查询,他的危害有会恶意获取,甚至篡改数据库信息,绕过登录验证,原理是针对程序员编写时的疏忽,通过执行SQL语句,实现目的性攻击,他的流程可以分为判断注入类型,判断字段数,判断显示位,获取数据库中的信息
SQL注入的原理
SQL注入就是通过web表单吧SQL命令提交到web应用程序,由于程序没有细致的过滤用户输入的数据,造成字符串拼接,进而恶意的SQL语句被执行,造成数据库信息泄露,网页篡改,数据库被恶意操作等
SQL注入的分类
从注入参数类型分:数字型注入、字符型注入、搜索型注入
从注入方法分:基于报错、基于布尔盲注、基于时间盲注、联合查询、堆叠注入、内联查询注入、宽字节注入
从提交方式分:GET注入、POST注入、COOKIE注入、HTTP头注入
SQL注入漏洞的利用思路
- 第一步先找可能存在漏洞的站点,也就是目标站点
- 第二步通过目标站点的后缀名来判断网站使用的是哪一种数据库,简单的判断可以观察脚本的后缀,如果是.asp为后缀,则数据库可能是access,如果是.aspx为后缀,则可能是MsSql,如果是.php对应的可能是mysql数据库如果是.jsp,可能是oracl数据库。
- 第三步是寻找站点存在的注入点,可以在url中进行尝试输入参数后在拼接上引号,通过回显可以判断该站点传输数据的方式是否为get方式,同样的原理可查看post表单中的数据,在post表单中提交引号;而cookie可以通过burpsuit工具来判断注入点。
- 第四步就是判断注入点的类型,,通过减法运算哦按段是否是数据型的类型注入,通过单引号和页面的报错信息来判断是哪一种的字符型注入。
- 第五步就是闭合我们输入的SQL语句,通过注释的方式来获取数据。
- 根据页面的回显来使用当前最优的方式进行注入
情况一:当页面有回显但是没有显示位的时候,可以选择报错注入,常见的报错函数有(floor(),exp(),updatexml(),exteractvalue()等函数)
情况二:当页面没哟明确的回显信息的时候,但是在输入正确和错误的SQL语句的时候页面不同,则可以使用(ascii(),substr(),length(),concat()函数)
情况三:当页面没有回显也没有报错信息的时候,可以使用时间盲注(sleep()函数)去获取数据库中的数据
还有其他的SQL注入如宽字节注入,base64注入,cookie注入,http头部注入,二次注入,堆叠注入等。
其他SQL注入的方法详解
宽字节注入
原理:
宽字节注入发生的位置就是PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码。在使用PHP连接MySQL的时候,当设置“character_set_client = gbk”时会导致一个编码转换的问题,也就是我们熟悉的宽字节注入
因为用了gbk编码,使这个为一个两字节,绕过了单引号闭合,逃逸了转义
绕过方式
已知我们的提交数据会被加入\,\的编码为%5c,我们在后面加上%df后变为了%df%5c,变成一个繁体汉字運,变成了一个有多个字节的字符。
防御方式
使用addslashes()函数,这个函数的作用就是转义SQL语句中使用字符串中的特殊字符,有单引号('),双引号(“),反斜杠()
使用mysql_reaal_escape_string()函数,该函数的作用是转义SQL语句中使用的字符串的特殊字符,影响的字符有\x00,\n,\r,\,‘,”,\x1a等。
堆叠注入
原理
堆叠注入就是将两条SQL语句合并在一起进行执行,两条语句可以使用分号(;)来分割他和union联合注入的区别就是union的执行的语句是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。
局限性和条件
堆叠注入的局限性就是不是每一个环境中可以执行,可能受到数据库引擎不支持,权限不足也不支持;在php中需要mysqli_multi_query()函数才能支持多条语句的查询,总结下来就需要以下三个条件
目标存在SQL注入漏洞
目标未对(;)进行过滤
目标中间层查询数据库信息时可同时执行多条SQL语句
利用方式
满足以上条件的目标可以直接在?id=1;后面直接插入SQL语句,例如?id=-1;insert into users(id,username,password) values(12,‘jack’,‘testjack’)–+
二次注入
原理
二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。
步骤
第一步插入恶意数据,在插入数据的时候,对其中特殊字符进行了转义处理,在写入数据库的时候又保留了原来的数据
第二步引用恶意数据,由于开发者默认存入的数据库的数据都是安全的,在查询的时候,可以直接从数据库中获取恶意的数据,没有进行检测,进而导致二次注入。
防御方式
使用预处理和数据绑定的方式
对数据的流动进行检测,无论是来自客户端的数据还是来自数据库的数据,都要对其进行过滤,转义(mysql_escape_string,mysql_real_escape_string)。
联合查询
原理
可以使用union的情况,不做过滤,或者是可以绕过过滤的关键字
步骤
依次判断类型,字段数,回显点,依次爆库名,表名,字段名,数据
构造payload进行注入
?id=1’union select 1,2,3 –
?name=1xxxx’ union select group_concat(schema_name),2 from information_schema.schemata–+
使用前提
必须使前一个查询的结果为空
union之后的查询字段数必须和union之前的查询字段数相同
防御方式
添加waf对关键字union进过滤
代码层对关键字进行匹配过滤
使用安全的框架
Cookie注入
顾名思义就是后端的cookie信息存放到数据库中,注入原理和SQL注入一样,就是注入点是http请求中的cookie
User-Agent
在user-Agent字段之后加入注入语句
读写注入
原理
当我们知道web资源存储的位置,并且对改路径有读写权限的时候,我们就可以使用文件读写注入,要使用union来进行注入
使用前提
知道文件的路劲
可以使用union查询
写文件的时候没有对单引号做过滤,可以使用into_outfile()函数
读文件的时候对web目录下有写的权限,即在mysql.ini文件中有字段secure-file-priv=''不做设置
针对所有数据库的注入流程
找到注入点
尽可能找到可以利用的注入点,半段数据的类型是get型还是post型,然后再做进一步利用
判断数据库的类型,然后做出对应的闭合方式
首先判断数据库是那种数据库,可以根据每个数据库的特色来进行尝试
获取对应的信息
使用union注入或者盲注或者其他注入的方式来构造payload,然后获取信息
5833
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
