(由于要找工作了,所以决定整理一下常见漏洞的知识,以下通过借鉴一些大佬的文档或者博客从而整合,当然也包括一些以往自己的经验。菜鸟一个,请各位大哥指点。)
含义:Sql注入是代码注入,插入到web表单以及一些查询字符串,由于如果没有合适的过滤,则使得恶意的sql语句被插入输入字段中执行。
一般思路:寻找可以注入的点,判断数据库类型 ,针对其特点尝试sql注入
分类:
按照注入类型:一阶sql注入,二阶sql注入
按照执行效果的分类:布尔盲注(根据返回页面判断真假的注入),
时间盲注(根据返回页面的时间是否增加判断注入,例如mysql中的benchmark(count,expr)函数,sleep(5)函数),
报错注入(页面会返回错误的信息,或者将注入语句的结果直接返回在页面中,例如updatexml,extractvalue)
(盲注一般时间成本高,优化方式:二分法,利用字母频率统计)
根据注入点类型: 数字型注入点 字符型注入点 搜索型注入点(指在进行数据搜索时候没有过滤搜索参数)
根据数据提交的方式来分类:GET注入(GET参数部分)POST注入 HTTP头部注入(user_agent,cookie等字段)
SQL注入常用的一些技巧与函数:
1)ascii(substring((select user from admin limit 0,1),1,1))>64利用这种方式来确定数据库中的一些字段内容
类似函数:left() right() substring() mid() substr()
ascii(str1) 返回字符串str的最左面字符的ASCII代码值。如果str是空字符串,返回0。如果str是NULL,返回NULL
substring(str,pos,len) 例如substring(字符串,1,1)从第一个数开始数一个数(即第一个数本身)
mid(str,pos,len) 例如mid(字符串,1 ,1)
mid(str,pos,len)是substring(str,pos,len)的同义词。 参数从1开始,不从0开始。
substr(str,pos,len) 例如substr(字符串,1,1)从第一个数开始取一个数(即第一个数本身)
这种表示的意思是,就是从pos开始的位置,截取len个字符(空白也算字符)。
Left(str, len) 此函数返回str字符串中最左边的长度字符。
right(str, len) 此函数返回str字符串中最右边的长度字符。
2)id=1 and 1=2 UNION SELECT 1,IF((substring((select user from admin limit 0,1),1,1)=CHAR(65)), BENCHMARK(5000000000, md5('12345')),null) 利用此进行时间盲注,如果条件真,则执行benchmark函数,如果为假,则无行为。
3)select table_name from information_schema.TABLES where table_schema=database() 注入获得表名
4)select column_name from information_schema.columns where table_name=XXX注入获得数据库/表名
sql注入的工具:
sqlmap
sqlmap支持的数据库:mysql、oracle、postgresql、microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase 、SAP MaxDB
get方式:sqlmap -u "http:xxxx/index.php?uid=1”
Post方式:sqlmap -u "http:xxxx/index.php” —data=“id=1”
Cookie方式:sqlmap -u “http:XXX/index.php” —cookie=“id=1”
—dbs数据库
—current-db现在的数据库
—current-user 现在的用户
二阶SQL注入:
二次注入是攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到sql查询语句所导致的注入。
分为两步:1)插入恶意数据,进行数据库插入数据时,对其中的特殊字符进行了转义处理,在写入数据库中又保留了原来的数据。
2)引用恶意的数据,开发者默认了存储在数据库中的数据都是安全的,在查询的时候,直接从数据库中取出恶意数据,没有进行进一步的检验的处理。
例子:比如攻击者A注册用户admin’— ,但是因为转义并不会执行,会存入数据库中,攻击者修改密码的时候,会调用数据库中的信息,而没有过滤,所以修改的实际是admin用户的密码,则可以实现攻击。
防止sql注入的方式:
1.使用预编译语句(最佳方式)
(jsp)prepared statement (php)php-mysqli
采用预编译语句集,它内置了处理SQL注入的能力,只要使用setXXX方法传值就可。
因为prepared statement已经处理好了,执行阶段就是把输入串作为数据处理,而不是对sql语句进行解析。
辅佐程序员对用户输入进行严格处理
2.不要随意开启生产环境中的webserver的错误显示
3.严格区分管理员与普通用户的权限
4.严格过滤用户的输入
1)严格查找sql语句中的关键字
2)对用户的输入内容的大小以及数据类型强制执行适当的转换和限制
3)利用安全函数处理用户输入
4)拒绝包含转义序列以及注释字符的输入内容
5)测试用户的输入,只接受需要的参数
如何黑盒挖掘SQL注入:
1)寻找SQL注入可能存在的点
利用AWVS扫目录,或者利用python爬虫,或者利用robots协议,寻找动态页面或者伪静态页面;寻找可能存在的注入参数,如get、POST、cookie。
2)通过手工构造payload查看是否存在注入漏洞。
3)如果存在可以利用sqlmap跑一下,也可以自己手工注入,或者写个脚本。