不倒翁之SQL注入认识

最新推荐文章于 2021-02-27 01:08:06 发布
最新推荐文章于 2021-02-27 01:08:06 发布
阅读量1.1k 收藏
点赞数
分类专栏: web安全 文章标签: sql注入 web漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zminr411421_/article/details/52184914
版权
今天看到一篇很好的文章,所以就总结下来了。。。。。。

0x00 【实例引入】
以PHP+ MySQL为例,一一个web网站中最基本的用户系统来做实例演示,一起来看看SQl注入的发生过程。
1、创建一个demo的数据库: 
CREATE DATABASE  `demo` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;<span style="font-size:12px;"><span style="font-family:Monaco, Menlo, Consolas, 'Courier New', monospace;"><span style="color:#333333;"></span></span></span>

2、创建一个名为users的数据表,并向其中插入两条测试数据: 

CREATE TABLE  `demo`.`user` (
`uid` INT( 11 ) NOT NULL AUTO_INCREMENT PRIMARY KEY COMMENT  '用户uid',
`username` VARCHAR( 20 ) NOT NULL COMMENT  '用户名',
`password` VARCHAR( 32 ) NOT NULL COMMENT  '用户密码'
) ENGINE = INNODB;
INSERT INTO `demo`.`user` (`uid`, `username`, `password`) VALUES ('1', 'zheng', MD5('123456'));
INSERT INTO `demo`.`user` (`uid`, `username`, `password`) VALUES ('1', 'chen', MD5('12345678'));

demo1
通过传入的username参数,在页面打印出这个会员的详细信息,编写userinfo.php程序代码: 

<?php
header('Content-type:text/html; charset=UTF-8');
$username = isset($_GET['username']) ? $_GET['username'] : '';
$userinfo = array();
if($username){
       //使用mysqli驱动连接demo数据库
        $mysqli = new mysqli("localhost", "root", "root", 'demo');
     $sql = "SELECT uid,username FROM user WHERE username='{$username}'";
    //mysqli multi_query 支持执行多条MySQL语句
   $query = $mysqli->multi_query($sql);
 if($query){
            do {
                 $result = $mysqli->store_result();
                 while($row = $result->fetch_assoc()){
                         $userinfo[] = $row;
                   }
                 if(!$mysqli->more_results()){
                               break;
                       }
         } while ($mysqli->next_result());
   }
}
echo '<pre>',print_r($userinfo, 1),'</pre>';

假设我们通过 http://localhost/test/userinfo.php?username=zheng 这个url来访问网站数据库资源,正常强狂下,带入数据库执行的一句是: 
SELECT uid,username FROM user WHERE username='zheng'
但是,如果用户在浏览器传入的username的参数是zheng';show tables -- ,即url变为:
http://localhost/test/userinfo.php?username='zheng';show tables -- '。此时实际执行的SQL语句是: 
SELECT uid,username FROM user WHERE username='zheng';show tables -- '
这样就导致了原本想要执行查询会员详情的SQL语句还额外执行了show tables; 语句,此时浏览器端就会显示开发者不希望的结果。

demo2
模拟web网站的用户登录系统login.php,代码如下: 

<?php
if($_POST){
        $link = mysql_connect("localhost", "root", "root");
     mysql_select_db('demo', $link);
 $username = empty($_POST['username']) ? '' : $_POST['username'];
       $password = empty($_POST['password']) ? '' : $_POST['password'];
       $md5password = md5($password);
        $sql = "SELECT uid,username FROM user WHERE username='{$username}' AND password='{$md5password}'";
      $query = mysql_query($sql, $link);
      $userinfo = mysql_fetch_array($query, MYSQL_ASSOC);
   if(!empty($userinfo)){
            //登录成功,打印出会员信息
               echo '<pre>',print_r($userinfo, 1),'</pre>';
   } else {
             echo "用户名不存在或密码错误!";
     }
}
?>
<!DOCTYPE html>
<html>
<head>
      <meta charset="utf-8">
  <title>Web登录系统SQL注入实例</title>
</head>
<body>
    <form name="LOGIN_FORM" method="post" action="">
        登录帐号: <input type="text" name="username" value="" size=30 /><br /><br />
        登录密码: <input type="text" name="password" value="" size=30 /><br /><br />
        <input type="submit" value="登录" />
  </form>
</body>
</html>

此时输入正确的用户名zheng和密码123456,执行SQL语句为: 
SELECT uid,username FROM user WHERE username='zheng' AND password='e10adc3949ba59abbe56e057f20f883e'
若将输入的用户名换成 zheng' or 1=1 -- ,密码随意,如aaaaaa,那么拼接之后的SQL语句就变成: 
SELECT uid,username FROM user WHERE username='plhwin' or 1=1-- ' AND password='0b4e7a0e5fe84ad35fb5f95b9ceeac79'
意味着,攻击者不需要知道用户真正的用户名和密码就可以登录系统。

0x01 【SQL注入初级】
1、什么是SQL注入?
     用户提交的数据代入数据库查询
2、SQL注入都有哪些类型?
分类:根据注入去数据的方式不一样来分类(按获取数据的速度排列)
     (1)延时注入
               sleep(秒) if (true,sleep(1),0)
     (2)盲注(不需要显示位,不需要代码输出mysql错误信息)
               (and 1=1 and 1=2)and hex(substr(data,1,1))>0      
               利用函数:
               exists():判断查询结果是否存在 存在为1(True),否则是0(False)
               ascii():查询的字符串最左边的字母的ascii码。如果str是空字符串,返回0,。如果str是NULL,返回NULL
               substr( string string,num start,num length):返回一个字符串的子串,参数有:字符串,偏移开始位,偏移长度。mysql中的start是从1开始的。
     (3)报错注入(利用数据库的错误消息来进行注入,需要mysql_error()开启php报错信息 )
          各类数据库条件:
               mysql(64个字符) group by x
               oracle(大概2000个字符左右)xmltype
               mssql(1前多还是2千多字符) 数字转换错误
           语法格式:
               <1> and(select 1 from(select count(*),concat((select (select ( payload ))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
               <2> extractvalue(有长度限制,最长32位)
               <3> UpdateXml(有长度限制,最长32位)
               <4> NAME_CONST(适用于低版本) 
      (4)union注入(需要显示位)
3、SQL注入能干什么
     通过SQL注入攻击实现数据窃取和数据篡改。
    1.获取数据库数据(曾删改查)
    2.读写文件
    3.执行操作系统命令

4、如何判断是否存在注入
     数字型、字符型、搜索型
     报错信息
数字型:
     sql="select * from news where id=1 and 1=1";
     sql="select * from news where id=1 order by 1";
字符型:
     1' and '1'='1
     sql="select * from news where type='1' and '1'='1'";
     sql="select * from news where type='1' order by 1'";
搜索型:
     %' and '%'='
     sql="select * from news where title like '%%'"

5、传说中的万能密码
admin' or 'a'='a
admin' or 1=1#(mysql)
admin' or 1=1--(sqlserver)
admin' or 1=1;--(sqlserver)

0x02 【如何防御SQL注入】
1、关闭错误信息提示功能
2、检查变量数据类型和格式
  只要是由固定格式类型的变量,在SQL语句执行前,应该严格按照固定格式检查(数据太大的情况下不适合)
3、过滤特殊符号
  同常采用addslashes函数,他会在指定的预定义字符前添加反斜杠转义,预定义字符:
单引号 (') 双引号 (") 反斜杠 (\) NULL。
来看两条例子: 

$uid = isset($_GET['uid']) ? $_GET['uid'] : 0;
$uid = addslashes(uid);
$sql = "SELECT uid,username FROM user WHERE <span style="background-color: rgb(255, 204, 204);">uid='{$uid}'</span>";
$uid = isset($_GET['uid']) ? $_GET['uid'] : 0;
$uid = addslashes(uid);
$sql = "SELECT uid,username FROM user WHERE <span style="background-color: rgb(255, 204, 204);">uid={$uid}</span>";

两个查询语句都经过php的addslashes函数过滤转义,但是安全性能方面仍不相同:
第一条:变量被单引号保卫,要想注入需先闭合前面的单引号,并且注释掉原sql语句的后面的单引号。又因为使用了addslashes函数,结果可想而知。。。
第二条:可将字符串转换成16进制实现注入。

4、绑定变量,使用预编译语句
MySQL的 mysqli驱动提供了预编译语句的支持,不同的程序语言,都分别有使用预编译语句的方法,我们这里仍然以PHP为例,编写 userinfo2.php代码: 

<?php
header('Content-type:text/html; charset=UTF-8');
$username = isset($_GET['username']) ? $_GET['username'] : '';
$userinfo = array();
if($username){
       //使用mysqli驱动连接demo数据库
        $mysqli = new mysqli("localhost", "root", "root", 'demo');
     //使用问号替代变量位置
 $sql = "SELECT uid,username FROM user WHERE username=?";
        $stmt = $mysqli->prepare($sql);
      //绑定变量
       $stmt->bind_param("s", $username);
     $stmt->execute();
        $stmt->bind_result($uid, $username);
 while ($stmt->fetch()) {
        $row = array();
        $row['uid'] = $uid;
       $row['username'] = $username;
     $userinfo[] = $row;
       }
}
echo '<pre>',print_r($userinfo, 1),'</pre>';

从上面的代码可以看到,我们程序里并没有使用addslashes函数,但是浏览器里运行 http://localhost/test/userinfo2.php?username=zheng' AND 1=1-- hack里得不到任何结果,说明SQL漏洞在这个程序里并不存在。


实际上,绑定变量使用预编译语句是预防SQL注入的最佳方式,使用预编译的SQL语句语义不会发生改变,在SQL语句中,变量用问号 ?表示,黑客即使本事再大,也无法改变SQL语句的结构,像上面例子中,username变量传递的 plhwin' AND 1=1-- hack参数,也只会当作username字符串来解释查询,从根本上杜绝了SQL注入攻击的发生。



zminr411421_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
信安之路 第六周数据库注入语句
小白渣的博客
09-20 1149
学习目标:能看懂大部分的sql语句,做到给一个复杂的sql语句能看懂,知道是干什么用的,为什么这么写. #第一部分:获取payload 通过sqlmap awvs等工具 更新sqlmap 内容太多,先放弃了 用着再查 通过谷歌 第二部分:基础 1、注入的分类: 基于从服务器接收到的响应 ▲基于错误的 SQL 注入 在URL加入了一些错误的SQL语句,被执行后返回了异常信息,这些异常信息当中包含...
Web安全之SSRF
甲方乙方
08-16 5305
0x00【概述】 SSRF(Server-Side Request Forgery):服务器端请求伪造,是一种由攻击者构造形成由服务器发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 成因:大都是由于服务器端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。比如从指定的URL地址获取网页文本内容,加载指定的地址的图片,下载等。
防御SQL注入方法(1)-使用预编译语句
littlecjx
08-19 2706
$query = "INSERT INTO myCity (Name, CountryCode, Distrit) VALUES (?,?,?)"; $stmt = $mysqli->prepare($query); $stmt->bind_param("sss", $val1, $val2, $val3); $val1 = 'Stuttgart'; $val2 = 'DEU'; $val3 = '
SQL注入详解,看这篇就够了
emprere的博客
02-13 1317
0前言先来看一副很有意思的漫画:相信大家对于学校们糟糕的网络环境和运维手段都早有体会,在此就不多做吐槽了。今天我们来聊一聊SQL注入相关的内容。1何谓SQL注入SQL注入是一种非常...
mysql where语句优化_MySQL如何利用索引优化WHERE和ORDER BY的查询语句效率
weixin_39642990的博客
02-27 639
MySQL索引通常是被用于提高WHERE条件的数据行匹配或者执行联结操作时匹配其它表的数据行的搜索速度。MySQL也能利用索引来快速地执行ORDER BY和GROUP BY语句的排序和分组操作。通过索引优化来实现MySQL的ORDER BY语句优化:1、ORDER BY的索引优化。如果一个SQL语句形如:SELECT[column1],[column2],….FROM[TABLE]ORDE...
admin_不倒翁OL完整后台_不倒翁ol官网_
10-03
【标题】"admin_不倒翁OL完整后台_不倒翁ol官网_" 暗示了这是一款名为“不倒翁OL”的在线游戏的后台管理系统,可能是由管理员使用的工具,用于控制、监控和管理游戏的运行。这个标题特别强调了它是“完整”的,可能...
不倒翁c语言
01-02
不倒翁c语言版 感兴趣的可以下载呀。代码挺简单的
cn-sql-server-2012-express-sqlexpr-x64
最新发布
11-16
SQL Server 2012是微软推出的一款关系型数据库管理系统,而Express版是其免费且轻量级的版本,适合个人学习、小型应用以及开发测试环境。 描述 "cn_sql_server_2012_express_sqlexpr_x64" 更进一步确认了这是针对...
最新不倒翁ol/微信小游戏猜硬币正反源码运营版 带前后台+安装教程
05-21
最新不倒翁ol/微信小游戏猜硬币正反源码运营版 带前后台+安装教程 1. 修复前台登录没反应问题(网络小部分卖家的版本都有这个问题) 2. 修复后台登陆没反应问题(网络小部分卖家的版本都有这个问题) 3. 修复会员...
Arduino摇滚不倒翁-项目开发
03-31
通过这个项目,不仅可以学习到Arduino的基础知识,还能提升动手能力和解决问题的能力,同时对环保和创意设计有所认识。不论你是电子爱好者还是想要学习新技能,Arduino摇滚不倒翁都是一个充满挑战和乐趣的项目。
sql注入详解1
Smile李先生
09-06 2730
sql注入   所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1]  比如先前的很多影视网站泄露V
MD5加密后的SQL 注入
热门推荐
greyfreedom的专栏
05-19 1万+
转自:http://www.joychou.org/index.php/web/SQL-injection-with-raw-MD5-hashes.html?utm_source=tuicool 今天看到 $sql = "SELECT * FROM admin WHERE pass = '".md5($password,true)."'"; 这样一个sql,其实可以注入。 思路比较
任意文件包含漏洞
甲方乙方
07-27 6613
看我说web安全之文件包含     最近重点学的是web安全知识,“顺流而进,逆流而上”,那我就倒着总结下学的东西吧。。。
Windows下利用MSSQL提权
甲方乙方
08-14 3903
MSSQL默认运行在system权限上,可以通过xp_cmdshell组件(起桥梁作用)执行系统命令,执行权限继承system权限。   条件:拿到数据库账号密码,且该账号是DBA权限 1、在数据库配置文件中查找数据库账号密码 登陆成功: 2、使用xp_cmdshell exec 执行命令,提示该组件被关闭: 3、通过使用sp_configure启用xp_cmd
常用端口总结
甲方乙方
08-08 3830
学习web安全也有一段时间了,但是对好多端口还是有点模糊,于是今天总结一下。。。大神勿喷哟 Port information 21 ftp 主要看是否支持匿名,也可以跑弱口令 22 ssh 23 tenlet 53 DNS服务器 79 Finger 80 web 常见web漏洞以及是否是一些管理后台 111
Windows下利用MySQL UDF提权
甲方乙方
08-13 3768
Windows下服务器提权之利用第三方服务MySQL 可利用环境: web应用服务器权限较低MySQLsystem 权限 假设已经拿到webshell。。。 1、了解上传的大马功能,查询一些关于目标服务器的系统信息 2、whoami查看当前权限 3、在网站web目录下上传UDF漏洞利用脚本,进行提权。上传成功,访问该文件:uid为root,pwd为空 4、mysql版
Windows下利用系统漏洞提权
甲方乙方
08-12 2489
利用系统漏洞提权 废话不多说直接进入主题吧。。。 1、假设已在目标服务器上得到webshell 2、查询用户和端口信息之后,检查是否有权限执行cmd命令 3、发现没有权限执行命令。找个可读可写可执行的文件上传一个cmd.exe程序,系统回收站文件符合条件C:\Recycler\。查看磁盘权限: 4、尝试在c:\inetpub\wwwroot下上传cmd.e
MYSQL中的concat()函数和concat_ws()函数
甲方乙方
08-08 2182
MySQL中字符串函数 1、concat()函数:可以连接一个或者多个字符串,如: 但是Oracle的concat函数只能连接两个字符串。 在连接字符串的时候,只有其中有一个是NULL,将返回NULL: 2、concat_ws()函数:将有分隔符的字符串连接起来,如: MySQL中concat函数不同的是, concat_ws函数在执行的时候,不会因为NU
不倒翁matlab仿真
07-27
当使用Matlab进行不倒翁仿真时,您可以按照以下步骤进行操作: 1. 定义系统模型:根据不倒翁的物理属性和运动方程,建立系统的数学模型。这可能涉及到力学和动力学方程等。 2. 设计控制器:根据系统模型和控制要求,设计适当的控制器。常见的控制方法包括PID控制、模糊控制、最优控制等。 3. 实现仿真:使用Matlab的Simulink工具箱进行系统仿真。在Simulink中,您可以将系统模型和控制器进行建模,并设置仿真参数和初始条件。 4. 运行仿真:运行仿真模型,观察不倒翁的运动轨迹和响应。您可以通过调整仿真参数和控制器参数,来优化系统的性能。 5. 分析结果:根据仿真结果分析系统的性能,比如稳定性、响应时间、误差等。如果需要,可以对控制器进行调整和优化。 请注意,在进行不倒翁仿真前,您需要确保您了解不倒翁的物理特性和运动方程,并具备Matlab和Simulink的基本使用知识。希望以上信息能对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值