SQL注入漏洞

概念

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息

web应用程序三层架构

视图层 + 业务逻辑层 + 数据访问层

数据库就是一个存储数据的仓库，数据库是以一定方式存储在一起，能与多个用户共享，具有尽可能小的冗余，与应用程序彼此独立的数据集合。

关系型数据库

关系型数据库，存储的格式可以直观地反映实体间的关系，和常见的表格比较相似

关系型数据库中表与表之间有很多复杂的关联关系的

常见的关系型数据库有MySQL，Orcale，PostgreSQL , SQL Server等。

非关系型数据库

随着近些年技术方向的不断扩展，大量的NoSQL数据库如 Mon goDB，Redis出于简化数据库结构，避免冗余，影响性能的表连接。摒弃复杂分布式的目的被设计

NoSQL数据库适合追求速度和可扩展性，业务多变的场景

数据库排行：https://db-engines.com/en/ranking

数据库服务器层级关系：

服务器里面
：多个数据库
：多个数据表
：多个行 列 字段
： 数据

SQL语句语法回顾：

系统库释义

提供了访问数据库元数据的方式

1.information_schema 库：是信息数据库，其中保存着关于MySQL服务器所维护的所有其他数据库的信息；

例如数据库或表的名称，列的数据类型或访问权限。有时用于此信息的其他术语是数据字典和系统目录。web渗透过程中用途很大。

2、performance_schema库具有87张表。
MySQL 5.5开始新增一个数据库：PERFORMANCE_SCHEMA，主要用于收集数据库服务器性能参数。内存数据库，数据放在内存中直接操作的数据库。相对于磁盘，内存的数据读写速度要高出几个数量级。

3、mysql库是核心数据库，类似于sql server中的master表，主要负责存储数据库的用户（账户）信息、权限设置、关键字等mysql自己需要使用的控制和管理信息。不可以删除，如果对mysql不是很了解，也不要轻易修改这个数据库里面的表信息。
常用举例：在mysql.user表中修改root用户的密码

4、sys库具有1个表，100个视图。
sys库是MySQL 5.7增加的系统数据库，这个库是通过视图的形式把information_schema和performance_schema结合起来，查询出更加令人容易理解的数据。
可以查询谁使用了最多的资源，哪张表访问最多等。

整数型

注入流程

1. 判断注入点
2. 猜解列明数量order by
3. 报错猜解，判断回显点
4. 信息搜集
5. 使用对应的SQL语句执行注入查询

注入语句

权限划分

在数据库中区分有数据库系统用户与数据库普通用户,二者的划分主要体现在对一些高级函数与资源表的访问权限上。直白一些就是高权限系统用户拥有整个数据库的操作权限,而普通用户只拥有部分已配置的权限。

网站在创建的时候会调用数据库链接,会区分系统用户链接与普通用户链接;当多个网站存在一个数据库的时候,root就拥有最高权限可以对多个网站进行管辖,普通用户仅拥有当前网站和配置的部分权限。所以当我们获取到普通用户权限时,我们只拥有单个数据库权限,甚至文件读写失败;取得高权限用户权限，不仅可以查看所有数据库,还可以对服务器文件进行读写操作。

多个网站共享mysql服务器

MySQL 权限介绍

mysql中存在4个控制权限的表，分别为user表，db表，tables_priv表，columns_priv表权限由高到低
当前的版本mysql 5.7.22 。

用来跨库查询，读写操作，写入后门等

文件读写注入的原理

就是利用文件的读写权限进行注入，它可以写入一句话木马，也可以读取系统文件的敏感信息。

文件读写注入的条件

高版本的MYSQL添加了一个新的特性secure_file_priv，该选项限制了mysql导出文件的权限

secure_file_priv选项

show global variables like ‘%secure%’ 查看mysql全局变量的配置

1、读写文件需要 权限

代表对文件读写没有限制

代表不能进行文件读写

代表只能对该路径下文件进行读写

2、知道网站绝对路径

Windows常见：

Linux常见：

路径获取常见方式：

报错显示，遗留文件，漏洞报错，平台配置文件等

读取文件

使用函数：

select load_file(‘绝对路径反斜杠’)；

后面的路径可以是单引号，0x，char转换的字符。

注意：路径中斜杠是/不是。

一般可以与union中做为一个字段使用，查看config.php(即mysql的密码)，apache配置…

写入文件

使用函数：（能写入多行，按格式输出）和 （只能写入一行且没有输出格式）

outfile 后面不能接0x开头或者char转换以后的路径，只能是单引号路径

魔术引号

魔术引号（Ma gic Quote）是一个自动将进入 PHP 脚本的数据进行转义的过程。
最好在编码时不要转义而在运行时根据需要而转义。

魔术引号：
在php.ini文件内找到

内置函数

做数据类型的过滤

is_int()等

addslashes()

mysql_real_escape_string()

mysql_escape_string()

关键字过滤

str_replace()

其他安全防护软件 WAF …

（1）数字型注入点

许多网页链接有类似的结构 http://xxx.com/users.php?id=1 基于此种形式的注入，一般被叫做数字型注入点，缘由是其注入点 id 类型为数字，在大多数的网页中，诸如 查看用户个人信息，查看文章等，大都会使用这种形式的结构传递id等信息，交给后端，查询出数据库中对应的信息，返回给前台。这一类的 SQL 语句原型大概为 若存在注入，我们可以构造出类似与如下的sql注入语句进行爆破：

（2）字符型注入点

网页链接有类似的结构 http://xxx.com/users.php?name=admin 这种形式，其注入点 name 类型为字符类型，所以叫字符型注入点。这一类的 SQL 语句原型大概为 值得注意的是这里相比于数字型注入类型的sql语句原型多了引号，可以是单引号或者是双引号。若存在注入，我们可以构造出类似与如下的sql注入语句进行爆破： 我们需要将这些烦人的引号给处理掉。MySQL中字符型参数当作一个整体会把数字后面的给过滤掉

（3）搜索型注入点

这是一类特殊的注入类型。这类注入主要是指在进行数据搜索时没过滤搜索参数，一般在链接地址中有 有的不显示在的链接地址里面，而是直接通过搜索框表单提交。此类注入点提交的 SQL 语句，其原形大致为： 若存在注入，我们可以构造出类似与如下的sql注入语句进行爆破：

（4）其他型注入点

其他型：也就是由于SQL语句拼接方式不同，在SQL中的实际语句为：，其本质为（xx’) or 1=1 # ）

常见的闭合符号：’ ‘’ % ( {

GET方式注入

GET 提交：通过url提交，数据长度有限制2k+35,优点是速度快 ； 用于：数据不敏感的

get注入方式比较常见，主要是通过url中传输数据到后台，带入到数据库中去执行，可利用联合注入方式直接注入

POST方式注入

post 提交：通过服务器提交，安全性更大，数据量更大

post提交方式主要适用于表单的提交，用于登录框的注入

方法：利用BurpSuite抓包进行重放修改内容进行，和get差别是需要借助抓包工具进行测试，返回结果主要为代码，也可转化为网页显示

Request方式注入

概念：超全局变量 PHP中的许多预定义变量都是“超全局的”，这意味着它们在一个脚本的全部作用域中都可以用，这些超全局变量是：
$_REQUEST（获取GET/POST/COOKIE）COOKIE在新版本已经无法获取了
$_POST（获取POST传参）
$_GET（获取GET传参）
$_COOKIE（获取COOKIE传参）在User-Agent后面
$_SERVER（包含了诸如头部信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组）

HTTP头注入

什么是HTTP 头？

通常HTTP消息包括客户机向服务器的请求消息和服务器向客户机响应消息。 这两种类型的消息有一个起始行，一个或者多个头域，一个只是头域结束的空行和可选的消息体组成。 HTTP的头域包括通用头，请求头，响应头和实体头四个部分

Header头部注入

header注入，该注入是指利用后端验证客户端信息（比如常用的cookie验证）或者通过header中获取客户端的一些信息（比如User-Agent用户代理等其他header字段信息），因为这些信息在某些地方是会和其他信息一起存储到数据库中，然后再在前台显示出来，又因为后台没有经过相对应的信息处理所以构成了sql注入。

select 查询数据

例如：在网站应用中进行数据显示查询操作

delete 删除数据

例如：后台管理里面删除文章删除用户等操作

insert 插入数据

例如：在网站应用中进行用户注册添加操作

update 更新数据

例如：后台中心数据同步或者缓存操作

盲注就是在注入的过程中，获取的数据不能显示到前端页面，此时，我们需要利用一些方法进行判断或者尝试，我们称之为盲注。我们可以知道盲注分为以下三类：

1.基于布尔的SQL盲注 - 逻辑判断

1.什么是布尔盲注?

Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。

2.如何进行布尔盲注？

注入流程：

3.靶场案例演示：

1.猜解数据库的名字

如此就得到了

第一个字符的ASCII码为115解码出来为“s”

第二个字符的ASCII码为101解码出来为“e”

第二个字符的ASCII码为99解码出来为“c”

依次类推出数据库的名字为“security”

2.猜解表明名

注：select下的limit是第几个表。

substr下的是截取的表内容。

当前库下（注入点连接的数据库）第一个表ASCII码为114 解码为r

当前库下（注入点连接的数据库）第一个表ASCII码为101 解码为e

当前库下（注入点连接的数据库）第一个表ASCII码为… 解码为…

2.基于时间的SQL盲注 - 延时注入

知识储备：

sleep（）： Sleep 函数可以使计算机程序（进程，任务或线程）进入休眠

if（）： i f 是 计算机编程语言一个关键字，分支结构的一种

mid(a,b,c): 从b开始，截取a字符串的c位

substr(a,b,c)： 从b开始，截取字符串a的c长度

left(database(),1),database() : left(a,b)从左侧截取a的前b位

length(database())=8 ： 判断长度

if（a,b,c）：可以理解程序中的三目运算符，a条件成立 执行b, 条件不成立，执行c

达到延时数据显示，从而通过数据显示的时间判断数据对错!

使用靶场less-2来实现延时注入：

ocalhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(database()=%27test%27,0,5))

可以通过length（）来判断数据库的长度

http://localhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(length(database())=8,8,0))

mid（）使用：

substr()函数
Substr()和substring()函数实现的功能是一样的，均为截取字符串。

string substring(string, start, length)
string substr(string, start, length)
参数描述同mid()函数，第一个参数为要处理的字符串，start为开始位置，length为截取的长度。

substr()函数使用：

Left()函数

Left()得到字符串左部指定个数的字符

Left ( string, n ) string为要截取的字符串，n为长度。

通过以上函数可以来判断数据信息：

http://localhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(mid(database(),1,1)=%27t%27,0,5))

推荐使用ASCII码

1.防止引号 ‘ “ 转义

2.方便以后工具的使用

使用ascii函数（）

结合场景使用：

select * from t1 where id=1 and if(ascii(mid((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=120,sleep(3),0);

select * from t1 where id=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=116,sleep(2),0);

3.基于报错的SQL盲注 - 报错回显（强制性报错）

函数解析：

updatexml():从目标XML中更改包含所查询值的字符串

第一个参数：XML_document 是String格式，为XML文档对象的名称，文中为DOC

第二个参数：XPath_string(Xpath格式字符串)

第三个参数：new_value,String格式，替换查找到的符合条件的数据

updatexml（XML_document,XPath_String,new_value）;

‘or updatexml(1,concat(0x7e,database()),0x7e)or’

extractvalue():从目标XML中返回包含所查询值的字符串

第一个参数：XML_document 是String格式，为XML文档对象的名称，文中为DOC

第二个参数：XPath_String (Xpath格式字符串)

extractvalue(XML_document,XPath_String)

’ or extractvalue(1,concat(0x7e,database())) or’

’ union select 1,extractvalue(1,concat(0x7e,(select version())))#

函数应用：

floor()向下取整 floor（10.5） = 10
rand（）随机数 0 ~ 1之间
count（*）函数返回表的记录数。
concat函数：将多个字符串连接成一个字符串
group_by 根据by对数据按照哪个字段、进行分组，或者是哪几个字段进行分组（去重）。
会建立一张临时表
注意：多个字段分组要使用某个列的聚合函数 cout sum等

4.加解密注入

Base64是网络上最常见的用于传输8Bit字节码的编码方式之一，Base64就是一种基于64个可打印字符来表示二进制数据的方法。还有别的加密方式，有加密的把语句先进行加密再注入

5.堆叠注入

在SQL中，分号 ；是用来表示一条sql语句的结束，我们在 ； 结束一个sql语句后面继续构造下一个语句会一起执行，因此也就造就了堆叠注入。

union injection（联合注入）也是将两条语句合并在一起
两者之间有什么区别？

区别就在于union执行语句类型有限，可以用来执行查询语句，而堆叠注入可以执行的是任意语句，堆叠注入局限性很大

Less-38

http://localhost/sqli-labs-master/Less-38/?id=1%27;insert%20into%20users(id,username,password)%20values%20(%2722%27,%27mc%27,%27hello%27)–+

更改传参方式绕过

关键词大小写绕过

编码绕过

双写绕过

换行(N)绕过

注释符内联注释绕过：

同义词替换

HTTP参数污染

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SVi80hdF-1689940210110)(C:UsersxgrenAppDataRoamingTypora ypora-user-imagesimage-20230717204023312.png)]

举例

sqlmap介绍

1、Sqlmap简介：

Sqlmap是一个开源的渗透测试工具，可以用来自动化的检测，利用SQL注入漏洞，获取数据库服务器的权限。它具有功能强大的检测引擎，针对各种不同类型数据库的渗透测试的功能选项，包括获取数据库中存储的数据，访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

目前支持的数据库有MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access等大多数据库。

2、Sqlmap支持的注入方式：

Sqlmap全面支持六种SQL注入技术：

• 基于布尔类型的盲注：即可以根据返回页面判断条件真假的注入。
• 基于时间的盲注：即不能根据页面返回的内容判断任何信息，要用条件语句查看时间延迟语句是否已执行(即页面返回时间是否增加)来判断。
• 基于报错注入：即页面会返回错误信息，或者把注入的语句的结果直接返回到页面中。
• 联合查询注入：在可以使用Union的情况下的注入。
• 堆查询注入：可以同时执行多条语句时的注入。
• 带外注入：构造SQL语句，这些语句在呈现给数据库时会触发数据库系统创建与攻击者控制的外部服务器的连接。以这种方式，攻击者可以收集数据或可能控制数据库的行为。

GET型注入

判断是否存在注入：

假设目标注入点是 ，判断其是否存在注入的命令如下：

当注入点后面的参数大于等于两个时,需要加双引号，如下所示。

运行完判断是否存在注入的语句后，爆出一大段代码，这里有三处需要选择的地方：第一处的意思为检测到数据库可能是MySQL，是否需要跳过检测其他数据库；第二处的意思是在“level1、risk1”的情况下，是否使用MySQL对应的所有Payload进行检测；第三处的意思是参数 存在漏洞，是否要继续检测其他参数，一般默认按回车键即可。

常用命令：

POST型注入

POST型：与数据库交互是通过post数据进行，URL不可见

利用sqlmap进行POST注入，常见的有三种方法:

注入方式一：

1.用Burp抓包，然后保存抓取到的内容。例如：保存为1.txt,然后把它放至某个目录下

2.列数据库:

sqlmap.py -r C:UsersZQDesktop1.txt -p uname --dbs

也可以使用 * 指定需要测试的参数

it looks like the back-end DBMS is ‘MySQL’. Do you want to skip test payloads specific for other DBMSes? [Y/n]
它看起来像后端DBMS是’MySQL’。 是否要跳过特定于其他DBMS的测试负载？ [Y/n] 输入"Y"

for the remaining tests, do you want to include all tests for ‘MySQL’ extending provided level (1) and risk (1) values? [Y/n]
对于剩余的测试，您想要包括所有针对“MySQL”扩展提供的级别（1）和风险（1）值的测试吗？ [Y/n] 输入"N"

POST parameter ‘n’ is vulnerable. Do you want to keep testing the others (if any)? [y/N]
POST参数’n’是脆弱的。 你想继续测试其他人（如果有的话）吗？[y/N] 输入"Y"

3.猜表

选择一个数据库，比如选test

sqlmap.py -r C:UsersZQDesktop1.txt -p uname -D test --tables

4.猜列

sqlmap.py -r C:UsersZQDesktop1.txt -p uname -D test -T t1 --columns

注入方式二：自动搜索表单的方式

sqlmap.py -u “http://localhost/sqli-labs-master/Less-11/index.php” --forms

do you want to test this form? [Y/n/q]
要测试此表单吗?[Y/n/q] 输入"Y"

do you want to fill blank fields with random values? [Y/n]
是否要填充带有随机值的空白字段? [Y/n] 输入"Y"

it looks like the back-end DBMS is ‘MySQL’. Do you want to skip test payloads specific for other DBMSes? [Y/n]
它看起来像后端DBMS是’MySQL’。 是否要跳过特定于其他DBMS的测试负载？ [Y/n] 输入"Y"

for the remaining tests, do you want to include all tests for ‘MySQL’ extending provided level (1) and risk (1) values? [Y/n]
对于剩余的测试，您想要包括所有针对“MySQL”扩展提供的级别（1）和风险（1）值的测试吗？[Y/n] 输入"N"

POST parameter ‘n’ is vulnerable. Do you want to keep testing the others (if any)? [y/N]
POST参数’n’是脆弱的。 你想继续测试其他人（如果有的话）吗？[y/N] 输入"N"

do you want to exploit this SQL injection? [Y/n]
你想利用SQL注入？ 输入"Y"

常用命令：