SQL注入搞事情(連載一)
概述
寫在最前面
為了有個合理的訓練計划,山人准備長期開放自己的訓練計划以及內容以供大家參考。山人專業是信息對抗技術,不是web方向的博客保證句句手打,如有問題請及時小窗。這章主要是講講什么事sql注入,之后的連載會涉及到注入工具的解析,實戰sqllab,dvwa,xvwa等平台的注入,CTF的注入題型和一些實戰的演練。
什么是SQL注入
不管用什么語言編寫的Web應用,它們都用一個共同點,具有交互性並且多數是數據庫驅動。在網絡中,數據庫驅動的Web應用隨處可見,由此而存在的SQL注入是影響企業運營且最具破壞性的漏洞之一。
SQL注入基本介紹
結構化查詢語言(Structured Query Language,縮寫:SQL),是一種特殊的編程語言,用於數據庫中的標准數據查詢語言。1986年10月,美國國家標准學會對SQL進行規范后,以此作為關系式數據庫管理系統的標准語言(ANSI X3. 135-1986),1987年得到國際標准組織的支持下成為國際標准。不過各種通行的數據庫系統在其實踐過程中都對SQL規范作了某些編改和擴充。所以,實際上不同數據庫系統之間的SQL不能完全相互通用。
SQL注入(SQL Injection)
是一種常見的web安全漏洞,攻擊者利用這個問題,可以訪問或修改數據,或者利用潛在的數據庫漏洞進行攻擊。
sql注入攻擊方式
SQL注入的攻擊方式根據應用程序處理數據庫返回內容的不同,可以分為可顯注入、報錯注入和盲注:
1.可顯注入:攻擊者可以直接在當前界面內容中獲取想要獲得的內容
2.報錯注入:數據庫查詢返回結果並沒有在頁面中顯示,但是應用程序將數據庫 報錯信息打印到了頁面中,所以攻擊者可以構造數據庫報錯語句,從報錯信息中獲取想要獲得的內容
3.盲注:數據庫查詢結果無法從直觀頁面中獲取,攻擊者通過使用數據庫邏輯或使數據庫庫執行延時等方法獲取想要獲得的內容
如何進行sql注入攻擊
SQL注入攻擊是非常令人討厭的安全漏洞,是所有的web開發人員,不管是什么平台,技術,還是數據層,需要確信他們理解和防止的東西。不幸的是,開發人員往往不集中花點時間在這上面,以至他們的應用,更糟糕的是,他們的客戶極其容易受到攻擊。
注入工具
1.SQLmap:
個人認為最屌的注入工具,開源的,自動化的工具。他可以利用注入漏洞,獲取數據庫服務器的權限。它具有強大的檢測引擎,針對不同的數據庫的滲透測試的功能選項,包括數據庫的數據,訪問操作系統的數據,訪問操作系統的文件甚至可以通過外帶數據連接的方式執行操作系統的命令。基本是注入必學,雖然有時候的檢測能力有限但搭配上手工和其他工具也算得上是居家旅行,拿站脫褲必備工具了。
項目地址:
https://github.com/sqlmapproject/sqlmap
2.SSQLInjection(超級sql注入工具)
這首一款基於HTTP協議自組報包的sql注入工具,支持出現在http協議任意位置的注入,支持https模板注入。目前支持bool盲注,錯誤回顯注入,union注入,支持access,mysql5以上版本,sqlserver,oracle等數據庫。采用c#開發,底層采用socket發包進行http交互,極大的提升了發包效率。優勢在於,支持盲注環境獲取世界各國語言,直接秒殺各種工具在盲注環境下無法支持中文等多字節編碼的數據。
項目地址:
http://www.shack2.org/article/1417357815.html
3.Pangolin(穿山甲)
這是一款幫助滲透測試人員進行SQL注入測試的安全工具。它具備友好的圖形界面以及支持測試幾乎所有數據庫,並能夠通過一系列非常簡單的操作,達到最大化的攻擊測試效果。親測效果不佳,是收費工具。
4.Havij(胡蘿卜)
Havij是一款自動化的SQL注入工具,它不僅能夠自動挖掘可利用的SQL查詢,還能夠識別后台數據庫類型、檢索數據的用戶名和密碼hash、轉儲表和列、從數據庫中提取數據,甚至訪問底層文件系統和執行系統命令,是收費工具。
5.The Mole
The Mole是一款開源的自動化SQL注入工具,其可繞過IPS/IDS(入侵防御系統/入侵檢測系統)。只需提供一個URL和一個可用的關鍵字,它就能夠檢測注入點並利用。The Mole可以使用union注入技術和基於邏輯查詢的注入技術。The Mole攻擊范圍包括SQL Server、MySQL、Postgres和Oracle數據庫。
項目地址:
nasel.com.ar
6.SQLNinja
sqlninja是一款用perl寫的一個專門針對Microsoft SQL Server的sql注入工具。和市面上其他的注入工具不同,sqlninja沒有將精力用在跑數據庫上,而是側重於獲得一個shell。
項目地址:
http://www.northernfortress.net/
7.BBQSQL
BBQSQL是一個Python編寫的盲注工具(blind SQL injection framework),當你檢測可疑的注入漏洞時會很有用。同時BBQSQL是一個半自動工具,允許客戶自定義參數。
項目地址:
https://github.com/Neohapsis/bbqsql/
8.Jsql
JSQL是一款Java開發的輕量級遠程服務器數據庫注入漏洞測試工具,且免費、開源、跨平台 (Windows, Linux, Mac OS X, Solaris)。
項目地址:
https://code.google.com/p/jsql-injection/downloads/list
9.Sqlsus
sqlsus是一個開放源代碼的MySQL注入和接管工具,sqlsus使用perl編寫,基於命令行界面。sqlsus可以獲取數據庫結構,注入你自己的SQL語句,從服務器下載文件,爬行web站點可寫目錄,上傳和控制后門,克隆數據庫等等
項目地址:
http://sqlsus.sourceforge.net/download.html
10.SQL Poizon
SQL Poizon是一個SQL注入掃描器,能夠利用搜索引擎搜羅互聯網上有SQL注入漏洞的網站。該工具內建瀏覽器和注入任務工具檢查注入效果。SQL Poizon的界面非常簡單,即使沒有多少技術功底的人也能輕松上手。(相當老的工具)