sql注入原理:web应用程序对用户的输入没有进行合法性的判断,前端传入后端的参数是攻击者可控的,并且带入了数据库查询,导致攻击者可以构造不同的sql语句实现对数据库的任意操作。
两个必要条件:1.参数用户可控
2.参数带入数据库查询
mysql与sql注入漏洞相关知识点:
mysql5.0版本后,mysql默认在数据库有一个information_schema库,其中有三张表需要记住,
1.schemata 存放了所有数据库的库名 schema_name
2.tables 存放了所有数据库的库名及相对应的表名 table_schema,table_name
3.columns 存放了所有数据库的库名及相对应的表名和字段名 table_schema,table_name,column_name
mysql查询语句
select 要查询的字段名 from 库名.表名 (不知道任何条件情况下)
select 要查询的字段名 from 库名.表名 where 已知条件的字段名=‘已知条件的值’ (知道一条已知条件)
select 要查询的字段名 from 库名.表名 where 已知条件1的字段名=‘已知条件1的值’ and 已知条件2的字段名=‘已知条件2的值’
limit的使用格式为 limit m,n
m为起始位置,n为取n条记录,如limit 0,1,即从第一条记录开始,取一条记录。
三个重要函数 database(),version(),user()
注释符,# --空格 /**/
内联注释/*!code*/
攻击方式:
1.给可控参数添加单引号,and 1=1,and 1=2.试过后基本就存在sql注入,之后可采取order by 1-99语句查询该数据表的字段数量。
如该数据表字段数量为3,输入id=1 order by 3 反馈结果和id=1 order by 4反馈一样的结果而id=1 order by 4反馈结果不同,则字段数为3
2.union注入攻击:进行1步骤后,union select 1,2,3 判断在1,2,3中可以输入sql语句的位置,然后即可插入sql语句进行查询
3.boolean注入攻击:针对只反馈yes或no结果的页面,即返回的结果不会存在数据库的数据,只是特定的正确或错误
那么可以试图判断数据库名的长度
‘ and length(database())>=1 --+
类推,可以根据页面反馈的正确和错误来判断是否猜对数据库名长度
当猜对长度后,可以试图猜数据库名的名字
如用
' and substr(database(),1,1)='t' --+ 意思是截取database()的值,从第一个字符开始,每次只返回一个。这个和limt不一样,这里从1开始排序
可以采取burp爆破的方式
也可以采用ascii的字符查询,假如database()数据库名第一个为s,s对应ascii码值为115那么
' and ord(substr(database(),1,1))=115 --+即可判断是否正确,ord是将字符转换为ascii码值
4.报错注入攻击,没看懂,暂时略,页面报错之后用的查询语句看不懂
5.时间注入攻击:即利用sleep()或benchmark()等函数让MySQL的执行时间变长,从而通过判断反馈时间来判断是否存在注入。
通常与if语句结合使用,IF(expr1,expr2,expr3) 含义为如果expr1为真,则返回expr2;否则返回expr3.
如判断数据库库名长度的语句为:
if (length(database())>1,sleep(5),1) 意思是如果数据库长度大于1,则mysql查询休眠5秒,否则查询1.
6.堆叠查询注入攻击:多语句之间以分号隔开,如
';select if(substr(user(),1,1)='r',sleep(3),1)%23
7.二次注入攻击:两个不同页面结合起来,通过注册页面注册用户如将test'注册到数据库里,虽然开始转义了,但是后来通过参数id页面读取时,读取到数据库里的
用户test',带入sql语句查询导致多了一个单引号出错。
8.宽字节注入攻击:当传入1'时,单引号被转移符(反斜线)转义,一般情况下是不存在sql注入漏洞的,但是有一个特例,当数据库编码为GBK时,可以使用宽字节注入
即用%df和反斜线的编码%5c结合起来为繁体字连。则单引号成功逃逸,报出数据库错误
而后可以进一步判断注入,
1%df' and 1=1%23
1%df and 1=2%23
接着用order by查数据库表字段数量,再结合union注入
9.cookie注入攻击:修改cookie中的参数尝试攻击
10.base64注入攻击:base64编码尝试绕过waf
11.XFF注入攻击:通过burp抓包后可以看到http请求头中有一个头部参数X-Forwarded-for,简称XFF头,它代表客户端真实的ip地址,通过修改它的值来进行攻击
如将它设置为127.0.0.1' and 1=1#
sql注入绕过技术
1.大小写绕过
2.双写绕过
3.编码绕过,如base64,url全编码(和url普通编码不一样)而且是编码两次
4.内联注释绕过注入:
如id=1 /*!and*/ 1=1
网友评论