原理:
web应用程序对用户输入数据的合法性没有判断,导致用户输入的数据被SQL解释器执行, 攻击者通过构造不同的sql语句来实现对数据库的任意操作。
条件:
参数用户可控:前端传给后端的参数内容是用户可控的
参数代入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询
分类:
按变量类型分:数字型注入,字符型注入
按HTTP提交方式分:POST注入、GET注入和Cookie注入
按注入方式分:布尔注入、联合注入、多语句注入、报错注入、延时注入、内联注入
Union注入:页面返回数据库中的数据时用此方法
以sqli-labs的less1演示一次完整union注入
1.判断是否存在注入:
~加入单引号提交:
结果:如果出现错误提示,则该网站可能就存在注入漏洞。
~数字型:
语句:1 and 1=1,1 and 1=2
结果:返回不同的页面说明存在注入漏洞
~字符型:
语句:' and '1=1;' and '1=2
结果:返回不同的页面说明存在注入漏洞
~搜索型:
简单的判断搜索型注入漏洞存在不存在的办法是先搜索',如果出错,说明90%存在这个漏洞。然后搜
索%,如果正常返回,说明95%有洞了。
2.获取字段数:
order by 子句:
order by 二分法联合查询字段数,观察页面变化从而确定字段数
确定字段数为3
3.使用联合查询查看显示位( 网页中能够显示数据的位置。 ):
联合查询:union/union all
联合查询时,查询结果的列标题为第一个查询语句的列标题。union内部每个select 语句必须具有必须具有相同数量的列,列也要有相似的数据类型。
union:显示不重复的值
union all:显示全部的值
因为联合查询默认只返回第一句结果,所以使id取不到
4.使用函数收集数据库信息:
5.查询详细信息:
连接字符串函数:
concat,
select concat('My','S','QL') from ****-- MYSQL
concat_ws,
select concat_ws(',','first name','second name') from ***-- first name,secondname
group_concat
查所有库
查当前库所有表名
查users表的所有字段名
查指定表users的列id,username,password
Boolean注入攻击:
指构造SQL判断语句,通过查看页面的返回结果来推测哪些SQL判断条件是成立的,以此获取数据库中的数据。
sqli-labs less-5
判断漏洞存在
获取信息
<1>判断数据库名长度
长度为8
<2> 获取当前数据库库名
盲注,burp爆破可得当前数据库名为security
<3>获取数据库表名
使用以下语句替代database():
(select table_name from information_schema.tables where table_schema='security' limit 0,1)
依次得到表名为:emails, referers uagents users
报错注入:
利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。这种手段在联合查询受限且能返回错误信息的情况下比较好用。
前提:
页面上没有显示位但是有sql语句执行错误信息输出位。
使用mysql_error()函数,可以返回上一个Mysql操作产生的文本错误信息。
常见的三种报错注入方式分别是:
extractvalue()
语法:extractvalue(目标xml文档,xml路径)
原理:函数第二个参数 xml路径是可操作的地方,xml路径是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报错,并且会返回我们写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。
updatexml()
语法:updatexml(目标xml文档,xml路径,更新的内容)
原理:和上面一致,要是xml路径报错就会出现我们需要查询的内容
floor()
payload构造
select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);