💻 1. 什么是SQL注入
SQL注入是一种针对Web程序中数据库层的安全漏洞的攻击方式。它利用了程序对用户输入数据合法性的判断或过滤不严,允许攻击者在设计不良的程序中添加额外的SQL语句,从而执行计划外的命令或访问未授权的数据。攻击者可以通过恶意拼接SQL语句,欺骗数据库服务器执行非授权的任意查询,进一步得到相应的数据信息。
❗️ 2. SQL注入的原理
SQL 注入是利用应用程序中对**用户输入数据的不当处理,**破坏了应用程序与数据库之间预期的正常交互,通过操纵输入来执行恶意的 SQL 操作。
SQL注入基本会满足以下的条件:
-
参数用户可控:也就是说,从前端传给后端的参数内容是用户可以控制的;
-
参数带入数据库查询:传入的参数需拼接到SQL语句,且带入到数据库查询。
当应用程序在构建 SQL 查询语句时,直接将用户输入的数据拼接到 SQL 语句中,而没有进行适当的验证、过滤或转义,攻击者就可以通过精心构造恶意的输入数据来改变原本预期的 SQL 语句逻辑。
例如,如果一个应用程序根据用户输入的用户名来查询数据库验证登录,正常的 SQL 语句可能是:
SELECT * FROM users WHERE username = 'John' 。
但如果没有对用户输入进行处理,攻击者输入 ' OR 1=1 -- ,那么最终的 SQL 语句可能变成:
SELECT * FROM users WHERE username = '' OR 1=1 --' 。
这里的 OR 1=1 总是为真,-- 是注释符,用于注释掉后面的剩余部分。这就导致可以绕过正常的认证逻辑,获取到所有用户的信息,或者执行其他非法的数据库操作。
💻 3. 简单演示
正常查询vince字段,结果显示也是正常的:
如果我们输入:vince' union select user(),database() #
数据库的账号和密码便会显示出来。
👀 4. 判断是否存在注入
我们可以通过一些简单的方法来初步判断一个应用是否存在 SQL 注入漏洞。例如,在输入框中输入一些特殊字符,如**单引号 '**观察系统的反馈。如果系统出现错误提示,且错误信息中包含了与数据库相关的详细内容,那么这可能是一个潜在的注入点。
另外,还可以尝试输入一些逻辑运算符,如
id=1 and 1=1
id=1 and 1=2
id=1 or 1=1
id='1' or '1'='1'
id="1" or "1"="1"
观察返回的结果是否有所不同。如果前者返回正常结果,而后者返回异常或无结果,也可能意味着存在注入漏洞。
🎬 几种sql注释符
井号 # :单行注释,需要与url中的#区分,常编写为%23
--空格 :单行注释,注意是两个短线+空格的组合
/*()*/ :多行注释,至少存在两处的注入,/**/常用来作为空格
📚 5. 注入流程
判断是否存在注入并且判断注入类型
判断字段数:order by
确定回显点:union select 1,2
查询数据库信息:@@version @@datadir
查询用户名,数据库名:user() database()
文件读取:union select 1,load_file('c:\\windows\\win.ini')#
写入webshell:select...into outfile...
PS:使用sql注入遇到转义字符串的单引号或者双引号,可使用HEX编码绕过。
✨ 6. SQL注入分类
按照SQLMap中的分类来看,SQL注入只要分为以下几种类型:
- UNION query SQL injection:可联合查询注入
- Stacked queries SQL injection:可多语句查询注入,堆叠查询
- Boolean-based blind SQL injection:布尔型注入
- Error-based SQL injection:报错型注入
- Time-based blind SQL injection:基于时间延迟注入
📚 7. 注入数据类型的区分
int整型
select * from users where id = 1
string字符型
select * from users where username='admin'
like搜索型
select * from tables_01 where title like '%标题%'
