sql注入原理及实验

原理

可以将Web程序想象成一个图书馆管理员,它机械的听从用户告诉它的信息,在书库(sql程序)中查询(Select)信息
当你告诉它”三国演义”时,它会查找并告诉你书库中《三国演义》的信息
  这里的组合方式就是 书库中《[用户输入]》的信息
但是如果你告诉它”三国演义》或《所有书籍”,它机械地听从指令会查询并告诉你
  书库中《三国演义》或《所有书籍》的信息

究其原理,便是用户输入的”数据”被恶意构造成”操作”
上例的书名号就是用来区分书名(名词)和句子其他成分的,在程序中则是使用双引号来区分字符串和语句其他功能指令的

利用

这里拿一个WarGame作为例子:
http://natas14.natas.labs.overthewire.org/
username=natas14
password=Lg96M10TdfaPyVBkJdjymbllQ5L6qdl1
可以自己先试试~会了的话就不用看了0v0节省下好久时间呢!

打开以后发现是username和password的输入框,提供了服务器端的PHP源代码

 
if(array_key_exists("username", $_REQUEST)) { //检查$_REQUEST中是否存在key=username
    $link = mysql_connect('localhost', 'natas14', ''); //连接mysql
    mysql_select_db('natas14', $link); //选择数据库

    $query = "SELECT * from users where username=\"".$_REQUEST["username"]."\" and password=\"".$_REQUEST["password"]."\""; //组成SQL语句字符串
    if(array_key_exists("debug", $_GET)) { //如果$_GET中存在key=debug
        echo "Executing query: $query
"
; //将$query显示出来 } if(mysql_num_rows(mysql_query($query, $link)) > 0) { //如果返回一条以上的数据 echo "Successful login! The password for natas15 is
"
; } else { echo "Access denied!
"
; } mysql_close($link); //关闭mysql连接 ?>

连接结构为:
  浏览器<————->PHP<————->mysql
  |客户端|    |---服务器---|

$query就是关键的sql语句
在php中它是一个作为连接函数的字符串参数,而输入mysql以后将成为一个sql命令
因此首先需要分析明确它的结构,这样才能方便我们之后的操作
假设令$_REQUEST={‘username’: ‘aaa’, ‘password’: ‘bbb’}时,$query和实际Sql语句分别是什么呢?
(建议看答案之前先自己尝试一下,提示:\是转义,’.’是PHP中的字符串连接符)
sql注入原理及实验_第1张图片

清楚了SQL语句的组成,我们就可以尝试发现PHP的漏洞了
很明显,双引号用来包裹两个变量,使其作为字符串类型的变量送入mysql
而知道了这一点,恶意令输入中带有双引号就会使得$query被送入mysql以后产生歧义:
试试令password= b” and True,会构造出怎样的SQL语句呢?
SELECT * from users where username = "aaa" and password="b" and True "
很明显,这是一句错误的SQL语句,因为双引号是单数个,就意味着肯定有字符串未闭合

说到这里,就要解释一下where子句的作用了:
Select语句在mysql数据库是查询检索的作用,where子句则是过滤条件
可以理解为

遍历所有数据项
 if(数据项满足条件)Then 
      echo 数据项;

我们不知道username和password,所以没法让username=xxx and password=xxx成立
但是如果满足的条件恒真,那么mysql就会显示所有数据了
即令SQL语句为
SELECT * from users where True;

由于and和or优先级相同,因此它们依次从左向右运算
现有的语句为
SELECT * from users where False [] and False []
[]是我们可以注入的地方
那么很明显,or这个只要一侧为真,就令整个表达式为真的操作符就派上用场了
构造SELECT * from users where False and False or True就可以使运算后where恒真了

观察到$query后恒有一个双引号,因此不能简单地输入True,而是要构造能够合理包含尾双引号的语句,例如令password=b” or “1” = “1

生成的SQL语句就是:
SELECT * from users where username=”a” and password=”b” or “1”=”1”
很明显,where子句恒真,将会返回数据库内所有信息

防御

从SQL注入被发现到现在已有十几年的历史,在这个过程中黑客和开发者进行了大量的博弈
从最简单粗暴的检测用户输入中是否存在引号等非法字符,到从SQL解决问题的参数化查询
黑客同时也引入了构造绕过过滤的宽字节注入法等等

虽然参数化查询其实可以根本性地解决SQL注入的问题,不过由于开发者的水平问题,漏洞仍然层出不穷~
希望大家以后开发网页的时候要注意哦0 -

你可能感兴趣的:(杂七杂八)