SQL注入是一种攻击者通过网页将SQL命令注入到SQL语句中的技术。攻击者可以绕过认证,访问、修改和删除数据库中的数据。在某些情况下,SQL注入甚至可被用于执行操作系统级的命令,攻击者可能对防火墙后的网络带来破坏性更大的攻击。
常用数据库
SQL注入类型
SQL注入开发技术
常见注入点——应用程序和数据交互的地方
常用SQL语句
常用SQL注入字符
数据库指纹
我们可以通过分析错误信息找出数据库类型。
首先从这里 下载SQL注入测试平台,并且利用xampp搭建开放SQL注入实验平台。(译者注:可参考 这篇博客 )
点击 Setup/reset Database for labs
想象一个需要输入用户名和密码的登录页面,当你输入用户名和密码后,后端就会产生并执行一条查询(SQL查询),登录后该查询结果会被显示在我们的主页。
例如:
Username - Raj
Password - Chandel
那么后端查询看起来是这样的
SELECT * FROM table_name WHERE username='Raj' AND password='Chandel';
这完全取决于开发者是如何将参数值封装在SQL查询中的,可以是单引号、双引号和引号与括号结合使用等。所以查询可能看起来会是这样的
SELECT * FROM table_name WHERE username='Raj' AND password='Chandel';
SELECT * FROM table_name WHERE username=('Raj') AND password=('Chandel');
SELECT * FROM table_name WHERE username="Raj" AND password="Chandel";
SELECT * FROM table_name WHERE username=("Raj") AND password=("Chandel");
或者是开发者选择的任何形式。这里以第一种查询为例进一步解释。
问:如果输入的用户名为 Raj' 会发生什么?
答:如果输入的用户名为 Raj' ,后台查询看起来会是这样的
SELECT * FROM table_name WHERE username='Raj'' AND password='Chandel';
由于多了一个引号,所以此处有语法错误。
问:怎样修复这条查询?可以修复吗?
答:上面的查询可以修复,即使输入的用户名仍为 Raj' 也可以修复。可以通过将 Raj' 后面的查询全部注释掉来修复。所以有效的查询会是这样的
SELECT * FROM table_name WHERE username='Raj'
这条查询语法正确
问:如何将剩余的查询注释掉?
答:这取决于后端的数据库类型。一般情况下使用 --+ 或者 # 。如果输入用户名 Raj'--+ ,完整的后端查询看起来是这样的
SELECT * FROM table_name WHERE username='Raj'--+' AND password='Chandel';
但是数据库只会读取并执行这条查询
SELECT * FROM table_name WHERE username='Raj'
--+ 后面的所有东西都被注释掉了,不会翻译为这条查询的一部分。这就是SQL注入。使用恶意的输入改变后端查询。
我不知道你是否对此怀有疑问,反正我当时学习的时候,有这样一个疑问:根据上面的带有注释的查询,我们不需要一个有效的密码就可以登录了吗?
是的,如果开发者没有采取防范SQL注入的措施,并且以上面方式实现查询,那么只有用户名就可能成功登录。
感到很疑惑?别急。接下来的文章我会向你展示具体过程。现在准备好实验平台,开始吧。
点击 lesson 1 并在URL中添加 id 作为参数
一直增大 id 的值(id=1, id=2...)。当 id 的值大于14,你会发现得到的是一个没有用户名和密码的空白页面,这意味着数据库只有14条记录。
后端查询一定是像这样的
SELECT * from table_name WHERE id='1';
或者
SELECT * from table_name WHERE id=('1');
或者
SELECT * from table_name WHERE id="1";
但是我们并不知道开发者具体是怎样封装 id 参数值的。所以得先找封装形式。
输入 id 的值为 1' 来破坏查询。
哈哈,现在我们得到了SQL语法错误提示。因为这个错误提示将会帮助我们找出后端查询,并且我们也会使用这个错误提示来进行SQL注入,所以这种类型的SQL注入又被称为基于错误返回的SQL注入 。
现在我们必须看着屏幕截图来分析这个错误。
你也可以通过转义字符来找出 参数封装形式,在MYSQL中 '\'(反斜杠)被用来转义一个字符。转义一个字符意味着取消该字符的特殊用途。使用转义字符可以得到更清楚的图片。
从上面的屏幕截图中可以清晰地看出后端查询
Less-1 - SELECT * from table_name WHERE id='our input'
Less-2 - SELECT * from table_name WHERE id=our input
Less-3 - SELECT * from table_name WHERE id=('out input')
Less-4 - SELECT * from table_name WHERE id=("our input")
这里以 Less-1 为例进一步解释。输入 1' 对应的完整的后端查询会是
SELECT * from table_name WHERE id='1'' LIMIT 0,1
这条查询有语法错误,之前我已经解释过如何使它语法正确,
输入 1'--+
或者输入 1'--%20(%20 URL编码为空格)
或者输入 1'%23 (%23 URL编码为 # )
http://localhost/sqlilabs/Less-1/?id=1'--%20
http://localhost/sqlilabs/Less-1/?id=1'%23
http://localhost/sqlilabs/Less-1/?id=1'--+
现在我们既可以破坏查询,又可以修复它的语法错误了。那么下一步干什么呢?接下来我们要努力在引号和 --+ 之间添加查询来获取数据库中的信息。
问:两条SELECT查询可以同时工作吗?
答:不行,我们必须得使用UNION操作符来实现。UNION操作符用于合并两个或多个SELECT语句的结果集。但是有一个前提条件,那就是UNION操作符两边的列数必须相同。由于我们并不知道后端的SELECT查询有多少列,所以首要任务就是找出SELECT查询中使用的列数。为此我们要使用ORDER BY子句。
ORDER BY子句会根据查询中使用的指定列将结果集按照升序或降序排列。例如:
ORDER BY country à 将会根据指定列(country)将结果集的元素按照升序排列。
问题又来了,我们根本不知道指令列的名字啊...
解决办法就隐藏在ORDER BY子句中...
我们会用到ORDER BY 1, ORDER BY 2...。因为ORDER BY 1 会根据在查询中出现的第一个指定列将结果集按照升序(默认)排列。(请注意,ORDER BY 1 不是根据表的第一列来排列结果集,而是按照查询中出现的的第一个指定列将结果集按照升序排列)
现在来试一下吧。
http://localhost/sqlilabs/Less-1/?id=1' order by 1 --+ 正确
[注意]APP应用上架合规检测服务,协助应用顺利上架!