网络对抗课题4.3.1 SQL注入原理与实践

原理

SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是，在输入字符串中嵌入SQL指令，在设计程序中忽略对可能构成攻击的特殊字符串的检查。

后台数据库将其认作正常SQL指令后正常执行，可能实现对后台数据库进行各种操作，甚至造成破坏后台数据库等严重后果。

SQL注入一般分为普通注入和盲注。

普通注入：后台数据库会回显有价值的提示信息，通过这些可能的报错信息可以更容易地进行注入，适合新手入门训练。

盲注：后台管理员在给出错误页面时，没有提供详细错误信息。攻击者需要运用脚本通过仅有的判断信息（比如时间差）对表中的每一个字段进行探测，从而实现注入。

本次实践主要是普通注入。

环境搭建

1.靶机组成：wampserver + DVWA-1.9 + MYSQL

2.搭建过程：

（1）下载安装wamp和MYSQL

（2）下载DVWA安装包，解压缩到wampserver下的www目录

（3）在地址栏输入http://localhost/DVWA-1.9/setup.php

（4）进入setup界面，点击“Create/Reset Database”按钮时如果出现“Could not connect to the database - please check the config file.”的错误信息，那么请打开DVWA-1.9/config/config.inc.php文件，将下面这段内容

$_DVWA[ 'db_password' ] = 'p@ssw0rd';

中的密码部分替换成在步骤2中设置的MySQL root用户的密码（此处为空，直接把'p@ssw0rd'改为''就行了，即密码为空），再重新创建数据库即可。

（5）进入链接http://localhost/DVWA-1.9/login.php，默认的用户名和密码为“admin/password”

（6）调整实验难度为简单，并且打开左边SQL注入按钮，进入训练页面。

手工注入实践

1.输入框中键入 ' 并且提交

回显：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1

数据库发现错误字符 ' 说明可能存在注入漏洞，并且可以知道后台数据库是MYSQL。说明这个系统可能通过回显让我们知道后台的关键数据。

分析：假设后台查询语句为：select 列 from 表 where ID= ? ，那么当在SQL语句后加上 or 1=1 ，则会变成： select 列 from 表 where ID= ? or 1=1 ，或许能将数据全部显示。

2.输入框中键入 'or 1=1' 并且提交

回显：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1

分析：说明SQL语句仍然有错误，或许整个注释掉SQL语句后面的部分能够解决问题。在MYSQL中使用 -- 来完成注释工作。

3.输入框中键入 'or 1=1 --' 并且提交

回显：

分析：假设后台查询语句为：select 列 from 表 where ID= '?' ，那么提交后查询语句变为： select 列 from 表 where ID= ''or 1=1 --'' 。-- 后部分注释掉，实际执行语句为：select 列 from 表 where ID= ''or 1=1 条件永真，从而显示全部信息。同时，我们可以知道一共有5列。

总结：首先发现SQL注入漏洞，找到合适的终止字符构造可执行的SQL语句，找到返回所有行的方法，最后找到特殊的注释SQL字符忽略剩余SQL语句。

分析：找到select语句执行方法后，我们可以使用UNION语句查找更多信息并显示。

Union的用法为：select [列]1,...,[列]n from [表] Union select [列]1,...,[列]n from [表]

其中子select查询语句的列数必须相同。

4.输入框中键入 'Union select 1,--' 并且提交

回显：

分析：发现列数不对，应该为两列

5.输入框中键入 'Union select 1,2--'并且提交

回显：

分析：证明其查询的列数为2列。

6.输入框中键入 'Union select 1,table_name from INFORMATION_SCHEMA.tables -- '并且提交

回显：

分析：通过对系统表INFORMATION_SCHEMA的查询，可以看到每一个表的表名。从中可以看到两行 guestbook、users应该是DVWA所用表。

7.输入框中键入 'Union select 1,column_name from INFORMATION_SCHEMA.columns where table_name = 'users' -- '并且提交

回显：

分析：通过这个语句，我们可以看到users表中的全部列的列名。从中可以发现password列。

8.输入框中键入 'Union select NULL,password from users -- '并且提交

回显：

分析：这样我们可以得到密码的MD5值。

通过concat()函数，我们可以连接参数，组成字符串。

使用方法：CONCAT(str1,str2,…)

9.输入框中键入 'Union select password,concat(first_name,' ',last_name,' ',user) from users -- ' 并且提交

回显：

分析：这样可以方便我们查询多种数据结果。

工具注入实践

各种工具对SQL注入的排名情况：

排名名称

1 Wapiti

2 Andiparos

3 Paros Proxy

6 Burp Suite

9 W3AF

本次实践使用工具为kali系统下内置的Sqlmap。它由Python语言开发，需要安装2.4版本后的Python解释器，支持 Mysql，Oracle，SQLserver ，access，sqlite等主流数据库。

它支持五种SQL注入技术：基于布尔值得盲注，基于时间的盲注，基于错误的盲注，UNION查询和stacked查询。

同时，它可以自动识别后台账户的哈希口令，并通过字典进行暴力破解。

最后，当数据库是Mysql,PostgreSQL和 SQL Server时，支持上传和下载数据库文件。

1.打开kali的默认浏览器iceweasel的插件Tamper Data。然后访问http://localhost/DVWA-1.9/login.php

2.提交数据aa，Tamper Data选择Tamper，可以看到当前会话的cookie和请求参数等。

3.如图使用sqlmap，附上-u 后跟目标url，--cookie=后跟获取的cookie

结果如下：

分析：工具显示的结果非常丰富。首先它探测出了URL中的id参数存在注入点，并且包含基于布尔变量，基于错误，基于Union联合查询，基于时间的注入类型。同时，目标主机的操作系统为win，Web应用平台为Apache 2.4.9，PHP 5.5.12，后台数据库为MySQL5.0。相关信息被保存在/usr/share/sqlmap/output/192.168.1.4目录下

4.在上述语句后加上 --dbs -v 0，--dbs可以根据所识别的数据库类型来探测包含的数据库名称。-v 参数表明显示过程的复杂程度，从0到6一共7级，0最简单，只显示python错误以及严重的信息。

结果：

分析：结果显示有5个可用数据库，其中dvwa和information_schema应该为我们想找的数据库。后面3个为我主机mysql中原本的数据库。正常查看数据库可见：

5.将指令后缀改为-D dvwa --tables，可以查询指定数据库dvwa下的所有表的名字

结果：

分析：可知在dvwa数据库下有两张表guestbook和users，其中users为我们感兴趣的表。

6.将指令后缀改为-D dvwa -T users --columns，可以查询指定数据库dvwa和指定表users下的所有列的名字

结果：

分析：可见users表下有很多列，我们希望把它们都保存下来。--dump选项可以帮我们完成这项工作

7.将指令后缀改为-D dvwa --tables -T users --columns --dump

结果：

分析：当工具检测到在列password中可能有密码哈希值时，问我们是否想它们另外存储并用其他工具破解。通过选择所用字典攻击模式后，可见工具帮我们完成密码哈希值的破解，并且最终统一显示并保存为csv文件。通过正常查看数据库可以验证结果

总结

通过这次sql注入实践，首先我了解了很多适合用于渗透的工具和练习的靶机环境，同时对于web应用建设的基本环节也有了进一步加深理解。同时，对于数据库的重要性也有了更深的认识。然后，通过sql手工注入操作，我又加深了对常规sql操作的熟练程度，也从一个新的角度来看待sql语句。同时，我也学习到了cookie在web访问中的重要性。最后，通过对sqlmap工具的使用，我完成了一次完整的渗透并拖库，破解数据的过程。这对于我熟悉现实中的注入常规操作非常有利。