一、SQL注入基础

1.1 什么是SQL注入漏洞

SQL注入漏洞从1998年圣诞节大火以来长盛不衰，虽然开发人员想出各种方法对他进行围追堵截，却始终无法将其赶尽杀绝，SQL注入的根本原因就是将SQL代码插入或添加到应用（用户）的输入参数中的攻击，之后再讲这些参数传递给后台的SQL服务器加以解析并执行。

1.2 简单的拓扑结构

1. 数据库管理系统/数据库：这是整个架构的核心，存储和管理数据。数据库管理系统（DBMS）负责数据的存储、检索、更新和维护。

2. 数据库服务器：数据库服务器是运行数据库管理系统的物理或虚拟服务器。它处理来自客户端的数据库请求，执行SQL查询，管理数据的访问和安全。

3. 网站：这可能是指一个Web应用程序，它作为数据库和客户端之间的中间层。网站可以提供用户界面，允许用户通过Web浏览器与数据库交互。

4. WEB服务器：WEB服务器负责处理HTTP请求和响应，它可能托管网站，并与数据库服务器通信以获取数据或执行操作。

5. 客户端：客户端可以是用户的个人电脑、移动设备或其他终端设备。它们通过Web浏览器或专用客户端软件与WEB服务器进行交互，间接地与数据库服务器通信。

6. 用户1的PC 和 用户2的PC：这些代表使用数据库服务的最终用户。他们通过客户端软件或Web浏览器访问数据库。

7. 黑客的PC：这可能表示一个潜在的安全威胁，黑客可能试图通过非法手段访问或破坏数据库。

在这个拓扑结构中，数据流通常是这样的：

• 用户通过他们的PC（用户1的PC和用户2的PC）访问网站。
• 网站作为前端应用程序，处理用户的请求，并将这些请求转发给WEB服务器。
• WEB服务器与数据库服务器通信，执行数据库操作，如查询、更新等。
• 数据库服务器处理这些操作，并将结果返回给WEB服务器。
• WEB服务器将结果发送回用户，完成数据的请求和响应循环。

这种多层架构有助于分离关注点，提高安全性和可维护性。例如，如果数据库服务器直接暴露给互联网，它可能会面临更多的安全风险。通过使用WEB服务器作为中介，可以更好地控制访问和实施安全措施。

1.3 SQL注入漏洞是怎样形成的

1. 用户输入：用户通过网站提交了一个请求，例如请求查看ID为36的文章。这个请求包含了一个参数，即文章的ID。

2. 动态构造SQL语句：应用程序根据用户输入的参数动态构造SQL查询语句。在这个例子中，如果应用程序直接将用户输入拼接到SQL语句中，可能会形成如下的SQL语句：

3. SELECT * FROM Article WHERE id = 36;

   如果用户输入的是36，那么一切正常。但是，如果用户输入的是恶意构造的SQL代码，比如36'; DROP TABLE Article; --，那么SQL语句就会变成：

   SELECT * FROM Article WHERE id = 36'; DROP TABLE Article; --;

   这里，恶意用户利用了SQL语句的分号(;)来结束正常的查询，然后添加了删除表的命令。

4. 执行恶意SQL：如果应用程序没有对用户输入进行适当的验证和过滤，那么这个恶意构造的SQL语句就会被执行。在这个例子中，DROP TABLE Article; 会删除整个Article表，导致数据丢失。

5. 数据库执行：数据库服务器执行了这个恶意的SQL语句，因为它看起来像是一个合法的查询请求。

6. 返回结果：数据库执行了恶意的SQL语句，可能会返回错误信息或者执行了预期之外的操作。

7. 展示给用户：客户端可能会收到一个错误页面或者被删除的数据，这取决于应用程序如何处理数据库的错误。

常见SQL注入过程如下：

1.4 SQL注入的危害

绕过登陆验证：使用万能密码登陆网站后台等；

获取敏感数据：获取网站管理员账号、密码等；

文件系统操作：列目录，读取、写入文件等；

注册表操作：读取、写入、删除注册表等。

1.5 SQL分类

1）根据注入的方式来分类： get注入、post注入、cookie注入

1. GET注入：

   • 概念：GET注入发生在用户通过URL传递参数时，攻击者可以在URL的查询字符串中插入恶意代码或数据。
   • 示例：如果一个网站的搜索功能允许用户通过URL的查询参数来搜索内容，攻击者可以在查询参数中添加SQL代码或其他恶意脚本，如http://example.com/search?query=1' AND 1=0 UNION SELECT * FROM users WHERE 1=1 --。
   • 风险：恶意代码可能会被执行，导致数据泄露、数据库被破坏或其他安全问题。

2. POST注入：

   • 概念：POST注入是通过HTTP POST请求提交表单数据时发生的，攻击者在表单数据中插入恶意代码或数据。
   • 示例：在登录表单中，用户提交用户名和密码，攻击者可以在POST数据中添加额外的字段和值，例如username=normaluser&password=normalpass&admin=true，尝试绕过权限检查。
   • 风险：如果应用程序没有正确验证和清理输入数据，恶意数据可能会被用于权限提升、数据操纵等。

3. Cookie注入：

   • 概念：Cookie注入是攻击者通过操纵HTTP Cookie中的值来注入恶意数据或脚本。
   • 示例：如果应用程序使用Cookie来存储会话信息或用户偏好，攻击者可能会尝试篡改Cookie值，例如通过客户端脚本或通过在浏览器中直接编辑Cookie来实现。
   • 风险：恶意的Cookie值可能会被用来进行会话劫持、跨站脚本攻击（XSS）或其他基于会话的攻击。

2）注入方式分类（根据注入的方式、是否有直接反馈、以及注入的复杂性来区分）：有回显的注入、盲注、二次盲注、报错注入、堆叠注入、宽字节注入

1. 有回显的注入：

   • 这种注入发生在攻击者能够直接从数据库的错误消息或查询结果中看到他们注入的SQL代码的效果。例如，如果注入导致数据库返回一个错误消息，攻击者可以看到注入的SQL片段被执行了。

2. 盲注：

   • 盲注是指攻击者无法直接从数据库获得关于注入的反馈，而是需要通过应用程序的行为来推断注入的效果。这通常涉及到构造一系列的条件语句，然后观察应用程序的响应时间或行为变化来判断条件是否为真。

3. 二次盲注：

   • 二次盲注是一种特殊的盲注，攻击者利用现有的盲注漏洞来进一步获取信息。例如，如果攻击者已经能够通过盲注确定某些数据的存在，他们可能会使用二次盲注来获取这些数据的实际内容。

4. 报错注入：

   • 报错注入是利用数据库的错误消息来获取信息的注入技术。攻击者构造特定的SQL语句，触发数据库的错误，然后从错误信息中提取数据库的结构、版本或其他敏感信息。

5. 堆叠注入：

   • 堆叠注入发生在攻击者能够向现有的SQL语句后面添加额外的SQL语句。如果应用程序没有正确终止或清理用户输入，攻击者可以添加分号(;)后跟新的SQL语句，从而执行多个命令。

6. 宽字节注入：

   • 宽字节注入是一种利用多字节字符集（如UTF-8）中的宽字节字符来绕过输入验证的注入技术。攻击者可以通过在输入中使用特定的宽字节字符来改变SQL语句的结构，从而绕过某些类型的输入过滤。

1.6 SQL注入简单检测

利用单引号'、双引号" 或 \ 来检测是否存在注入，如果爆出SQL错误或出现不回显，大概率存在SQL注入漏洞

哪些地方可能存在漏洞

最普遍的注入漏洞是由于参数值过滤不严导致的。

Cookie注入漏洞普遍存在于ASP的程序中。

参数名、目录名、文件名等注入漏洞通常存在于有网站路由的程序中

1.7 判断注入漏洞的依据

二、SQL注入简单利用

2.1 SQL注入流程

1）判断是否存在SQL注入，与注入的类型

1. 先看类型，第一种有报错注入的，用 ‘ 先来判断，如果报错就说明有SQL注入
2. 遇到盲注需要用逻辑语句，and语句，例如 

and 1=1 and 1=2,OR 3*2*0=6 AND 000909=000909 --'

2）判断SQL注入是字符型还是数字型

1. 字符型注入：

   • 原理：当输入参数为字符串时，如果SQL语句中使用单引号来闭合参数值，且攻击者能够通过构造输入来改变SQL语句的结构，通常就是字符型注入。
   • 判断方法：可以通过在输入参数后添加单引号（如 '），如果这导致SQL查询出错或页面报错，可能是因为单引号闭合了参数值，导致SQL语句结构被破坏。此外，如果添加 ' AND 1=1 或 ' AND 1=2 后页面的响应不同，这可能表明存在字符型注入漏洞。

2. 数字型注入：

   • 原理：当输入参数为数字时，如果攻击者能够通过修改数字参数来影响SQL语句的逻辑，这通常是数字型注入。
   • 判断方法：可以通过修改数字参数（如 id=3 改为 id=3'），如果页面报错，可能是因为SQL语句尝试将字符串 ' 作为数字值的一部分，导致语法错误。如果添加 AND 1=1 或 AND 1=2 后页面的响应不同，这可能表明存在数字型注入漏洞

3）爆裂数（Explode Column Count）

1. 使用ORDER BY子句来确定数据库表中的列数。通过逐步增加ORDER BY后面的数字，直到遇到错误，可以推断出正确的列数。例如，如果ORDER BY 3没有错误，而ORDER BY 4导致错误，那么可以知道表有3列。

4）获取数据库名

利用SQL函数DATABASE()来获取当前数据库的名称。在联合查询（UNION SELECT）中使用这个函数，可以返回当前数据库的名字

5）爆表名（Explode Table Names）

使用UNION SELECT结合group_concat()函数，从information_schema.tables表中获取当前数据库的所有表名。这里的group_concat()函数用于将多个结果合并为一个字符串。查询条件where table_schema=database()确保只获取当前数据库的表名。

5）爆列与爆值

爆列和爆值是SQL注入攻击的关键步骤，它们允许攻击者绕过应用程序的正常逻辑，直接与数据库交互，从而获取他们想要的数据。为了防止这些攻击，开发者应该对用户输入进行严格的验证和过滤，使用参数化查询，并限制数据库的权限。

1. 爆列（Exploring Columns）：

   • 爆列是指攻击者尝试确定数据库表中列的数量和类型的过程。在SQL注入攻击中，攻击者首先需要了解目标数据库表的结构，包括表中有多少列以及每列的数据类型。
   • 这通常通过使用ORDER BY子句来实现。攻击者通过改变ORDER BY子句中的数字，来确定数据库表的列数。例如，如果ORDER BY 1没有导致错误，而ORDER BY 2导致错误，那么攻击者可以推断出表只有一列。
   • 爆列的目的是为后续的注入攻击提供必要的信息，比如在进行联合查询（UNION attack）时，需要知道查询结果需要与原查询的列数和数据类型相匹配。

2. 爆值（Extracting Values）：

   • 爆值是指攻击者利用SQL注入漏洞从数据库中提取数据的过程。一旦攻击者了解了数据库表的列数和数据类型，他们就可以构造更复杂的SQL语句来获取敏感信息。
   • 爆值可以通过联合查询（UNION attack）来实现，攻击者构造一个UNION SELECT语句，将原查询的结果与他们想要提取的数据结合起来。例如，如果攻击者知道用户表中有两列，他们可以构造一个查询来获取用户名和密码：

     ' UNION SELECT username, password FROM users --

   • 爆值还可以通过其他技术实现，比如基于时间的盲注（Blind SQL Injection），攻击者通过构造特定的SQL语句，根据页面响应时间的变化来推断数据。