【SQL注入】SQL注入知识总结v1.0

一名白帽的成长史

发布于 2019-10-08 15:44:54

9930

发布于 2019-10-08 15:44:54

文章被收录于专栏：一名白帽的成长史

Hello，各位小伙伴周末晚上好~

话说最近有小伙伴在公众号留言问我：

“小编，怎么盗QQ号？”

“小编，在某某网站用什么代码就可以免费充值？”

“小编，能不能帮我攻击一下某某网站？”

“小编，出来挨打！”

First of all，你的目标得有可以利用的漏洞才行，不存在什么万能代码的...

第二，第二步之后的所有行为都是违反国家网络安全法的！！！

我们要做遵纪守法，维护国家网络安全的白帽子~

而不是搞黑产的黑客~~

好啦，言归正传，其实早就写完了这篇SQL注入总结，但一直没有发布。

因为SQL注入可以写的东西实在太多了，最后决定还是先发出来，后期继续丰富吧。

Part.0

一、SQL概述

什么是SQL注入？

二、SQL注入点的类型

注入点分类

三、常见的注入方式

报错注入
联合查询注入
盲注
时间盲注
存储过程

四、存在SQL注入的点

GET
POST
HTTP 文件头注入

五、一些WAF的绕过方法

六、SQL注入的防护

SQL注入的危害
使用预编译语句
对输入进行严格的过滤
最小权限原则

Part.1

SQL概述

什么是SQL注入？

利用web应用程序对用户输入验证上的疏忽，攻击者在输入的数据中包含对某些数据库系统有特殊意义的符号或命令。

通过将这些恶意命令拼接到正常的SQL执行语句中一并执行，达到对后台数据库系统直接下达命令的攻击方式，称为SQL注入。

为什么可以把构造的SQL命令插入到正常的SQL执行语句中一并执行呢？

SQL查询支持and、or、union等多种查询方法，攻击者可以通过这些方法，将恶意执行语句拼接到正常的查询语句中去。

例如：

http://x.x.x.x/dyshow.php?dyid=42 union select 1,version(),user(),4

通过union拼接恶意查询语句，查出了数据库版本，和当前管理员账号：

因此，SQL注入攻击的本质，其实就是把用户输入的数据当作代码执行了。

注入攻击需要满足两个条件：

用户能够控制输入。
原本程序要执行的代码，拼接了用户输入的恶意数据。

Part.2

SQL注入点的类型

注入点分类

根据后端服务器传递到SQL数据库的查询语句的不同，我们可以分为两类：

1、数字型注入

SELECT name FROM users WHERE user_id = $id

数字型注入，直接在后面拼接我们构造的SQL语句即可。

2、字符型注入

SELECT name FROM users WHERE user_id = '$id'

字符型注入，如果直接拼接SQL语句，拼接的语句并不会被执行，也不会报错，需要将我们构造的语句从' ' 中逃逸出来才行。

比如下面这个例子：

//and 1=2 没有生效，如果生效应该什么都查不出来才对。

逃逸方法：

如果传入的参数是被' '引起来的，我们可以传入id = 1' and 1=2 # ，即：

SELECT name FROM users WHERE user_id = '1' and 1=2 # '

//第一个' 使 and 1=2 逃逸出来，#注释掉后面多余的'号。

//注释符也可以用--空格，但在URL中输入时，如果在最后加上-- ，浏览器在发送请求的时候会把URL末尾的空格舍去，所以我们用--+代替-- ，原因是+在URL被URL编码后会变成空格。

Part.3

常见的注入方法

报错注入

报错注入：

给参数赋值为and 1=1 或and 1=2，根据页面显示判断该节点是否为注入点
给参数赋值单引号，根据报错类型判断为数字型还是字符型注入点
通过order by 语句，根据报错判断当前列表的字段数等等

联合查询注入

联合查询注入：

通过union select 1,2,3,4 语句，查看可显示的字段位置
通过union select 1,version(),database(),4 ，可查询数据库敏感信息
通过union select 1,username,passwd,4 from users ，可爆出其他表单的字段内容。

报错注入 + 联合注入就可以爆出一些简单的数据库的字段内容了，具体实战内容请参考之前的文章：

【SQL注入】通过实战教你手工注入MySql数据库

盲注

很多时候，Web服务器不显示数据库中查询的内容，只反馈对错，此时就可以根据逻辑判断是否正确利用盲注来获取信息。

以sqli-labs的第5关为例：

http://192.168.211.174/sqli-labs-master/Less-5/?id=11

注入点为?id，当我们输入可查询到的id时，页面只显示you are in ... ，不显示查询到的内容，如下：

当我们输入一个查询不到的id时，页面什么都不显示，例如输入：

http://192.168.211.174/sqli-labs-master/Less-5/?id=110000

我们来看看网站源码：

可以看出正确查询时，只返回 You are in...

该页面不存在显示点，我们只能采用盲注的方法进行猜测。

输入http://192.168.211.174/sqli-labs-master/Less-5/?id=1'

语法报错如下：

输入：http://192.168.211.174/sqli-labs-master/Less-5/?id=1' and 1=1 --+

语法上显示正常，如下：

现在知道注入格式了，但是union联合查询在这里肯定是不适用的，因为当查询到数据时，该页面只会显示一个You are in ...

此时，就需要我们用到盲注了，这里介绍几个盲注可以用到的函数。

（1）利用 left(str,length) 函数获取信息这是一个字符串函数，它返回具有指定长度的字符串的左边部分。

例如猜数据库版本第一个字符是不是5：http://192.168.211.174/sqli-labs-master/Less-5/?id=1' and left(version(),1)=5 --+

说明是5.X版本，可以利用information_schema数据库。

（2）利用length函数判断数据库等的长度

一个汉字是算三个字符，一个数字或字母算一个字符。

http://192.168.211.174/sqli-labs-master/Less-5/?id=1' and length(database())=8 --+

可以看出数据库名长度为8，这时我们再来一个字符，一个字符进行猜解。

如：http://192.168.211.174/sqli-labs-master/Less-5/?id=1' and left(database(),1)='s' --+

如果显示 you are in ，则说明第一个字符是s，接着猜第二个字符，直到猜出完整数据库名为止。

（3）利用substr或substring函数获取信息

substr(str,pos,len)：表示从pos开始的位置，截取len个字符(空白也算字符)。
ascii()：可以计算字符的ascii值。

如果输入 >100 显示you are in...，输入>101则什么都不显示，则表示第一个字符ASCII值为101，即英文字母 e。

通过以上盲注方法，我们就可以逐步猜解出数据库名等一系列我们需要的敏感信息，但是通过手工注入，效率也是非常繁琐的，此时就需要配合我们的自动化工具来帮助我们完成这个过程了，例如sqlmap。

输入：root@kali:~# sqlmap -u "http://192.168.211.174/sqli-labs-master/Less-5/?id=1' 即可。

间盲注

但有时候，Web服务器不但不显示数据库中查询的内容，甚至连错误回显都关闭了，无论我们输入的数据能否在数据库中查询到，页面都不返回任何信息。

这个时候就需要用到时间盲注了，时间盲注可以利用sleep()函数或者benchmark() 函数。

sleep()函数：

构造注入语句：id=1'and if(ascii(substr(database(),1,1))=115,1,sleep(5))--+

当查询失败时会有5秒的时间延迟

benchmark() 函数：

id=1' union select (if(substring(current,1,1)=char(115),benchmark(50000000,encode('MSG','by 5 seconds')),null)),2,3 from (select database() as current) as tb1--+

当结果正确的时候，运行encode('MSG'，‘by 5 second’)操作500000000次，会占用一定的时间，以此来判断查询是否正确。

同样，使用sqlmap可以快速完成注入。

存储过程

在MS SQL Server和Oracle数据库中，有着大量内置的存储过程。存储过程为数据库提供了强大的功能，存储过程需要使用CALL或者EXEC来执行。

存储过程也就是SQLServer为了实现特定任务，而将一些需要多次调用的固定操作语句编写成程序段。

例如在SQL Server中，我们可以利用xp_cmdshell执行系统命令：

EXEC master.dbo.xp_cmdshell 'cmd.exe dir c:'

Part.4

存在SQL注入的点

GET

SQL注入常见的注入点就是GET，我们通过输入的URL进行注入。例如：

前端代码通过GET方法，将username&password传入到后端服务器：

后端服务器再通过GET方法接收数据，并调用到sql查询语句中去。

//该代码并未对输入的内容做任何转义以及过滤

POST

POST方法不同于GET方法，传输的内容并不会在URL中进行显示：

前端使用POST方法，代码如下：

后端使用$_POST进行数据接收：

抓包可发现传递的参数在HTTP请求的正文中：

HTTP 文件头注入

除了用户主动提交的数据以外，有时候，服务器会读取HTTP头部的中的信息存入到数据库中去。

常见的HTTP文件头注入点如下：

User-Agent：使得服务器能够识别客户使用的操作系统，游览器版本等.（很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中）
Cookie：网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据（通常经过加密）.
X-Forwarded-For：简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP,（通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]）.
Rerferer：浏览器向 WEB 服务器表明自己是从哪个页面链接过来的.
Host：客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号

例如，PHP后端会使用$_SERVER[‘HTTP_X_FORWARDED_FOR’]来获取HTTP头部中的XFF头，使用$_SERVER['HTTP_HOST']来获取Host头，如果没有对这些输入点进行过滤就存入数据库中，就会存在SQL注入风险。

Part.5

一些WAF的绕过方法

WAF绕过

1、大小写绕过

例如WAF拦截了union，可以使用大写UNION的方式。

2、编码绕过

如果大小写都过滤了，可以采用编码的方式进行绕过。

例如用16进制代替U，就是%55nion，当然还有char(ASCII码)等多种方式来替换字符。

3、注释符绕过

（1）WAF过滤了一次危险语句的情况

例如：?id=1 union select 1,2,3