SQL注入之注入点的寻找

注入点的判断

判断一个链接是否存在注入漏洞，可以通过对其传入的参数（但不仅仅只限于参数，还有cookie注入，HTTP头注入等） 进行构造，然后对服务器返回的内容进行判断来查看是否存在注入点。

注入点的种类

1.按注入点参数的类型分类

（1）数字型注入

例如id=1这种类型，向数据库传入的是数字，参数不需要被引号括起来。

（2）字符型注入

例如name=admin这种类型，像数据库传入的是字符串，参数需要被引号括起来。

2.按照数据请求方式来分类

（1）GET注入

HTTP请求方式为get，注入点一般在get传入的参数部分，例如？id=1，id便是一个注入点。

（2）POST注入

HTTP请求方式为post，注入点一般为提交的HTML表单， 即post传入的数据内容。

（3）HTTP头注入

HTTP的请求头存在注入点，例如XFF头，cookie，Host这些都是常见的注入点。

3.按照语句的执行效果来分类

（1）报错注入

页面会返回错误信息，或者将语句的查询结果直接返回到页面（这是最常见的一种注入，一般手注就可搞定）

（2）基于布尔的盲注

盲注的意思就是你无法直接通过页面的返回内容来获取信息，页面只会返回真假，你需要对一个个字符进行测试，相对于报错注入，盲注的工作量比较庞大，一般写脚本或者用工具跑。

（3）基于时间的盲注

页面无法直接返回真假，需要构造条件语句查看时间延迟的语句是否成功执行（观察页面的返回时间的长短）来进行判断。

（4）联合查询注入

通过union来将多条语句的结果组合到一个结果中

（5）宽字节注入

宽字节注入是由编码不统一引起的，一般是在PHP+MySQL中出现

（6）堆查询注入

堆叠查询可以构造执行多条语句

（7）二次注入

将攻击者构造的恶意数据存储在数据库后，恶意数据被读取并进入到SQL查询语句所导致的注入。

注入类型的判断

（1）数字型注入

判断步骤

1.首先在参数后加个单引号，URL：www.3333.com/text.php?id=1’ 对应的sql：select * from table where id=3’ 这时sql语句出错，程序无法正常从数据库中查询出数据，就会抛出异常；

2.在参数后加 and 1=1  www.33333.com/text.php?id=1 and 1=1 对应的sql：select * from table where id=3’ and 1=1 该语句前后都为真，语句执行正常，与原始页面无任何差异；

3.在参数后加 and 1=2  www.33333.com/text.php?id=1 and 1=2 对应的sql：select * from table where id=3’ and 1=2 该语句为假，所以无法返回结果，返回异常。

一般满足以上三点就可以认定该注入点的类型为数字型注入。

（2）字符型注入

判断步骤

1.加单引号：select * from table where name=’admin’’ 由于加单引号后变成三个单引号，则无法执行，程序会报错；

2.加 and 1=1 此时sql 语句为：select * from table where name=’admin’ and 1=1’ ,也无法进行注入，还需要通过注释符号将其绕过；（MySQL常用的注释符号有#   -- （后面还有个空格） /* */）

构造语句为：select * from table where name =’admin’ and 1=1#’ 可成功执行返回结果正确；

3.加and 1=2 此时sql语句为：select * from table where name=’admin’ and 1=2 –’则会报错。

如果满足以上三点的话，基本可以认定为字符型注入。