sql注入

准备

SQL注入是一个过气的话题(现在的项目大部分都已经使用ORM来对数据库进行查询了,所以SQL注入在大部分情况下都已经被框架给规避掉了);然而不管你在不在乎,它都在那里,它是WEB领域攻击的一种最常见的手段,它通过利用可视化界面的表单录入(例如: 登录界面的用户名输入框),输入一些乱七八糟的字符来影响你的SQL原声语句的拼接,从而影响整个查询结果来达到Hacker的目的。

先声明一下我的操作系统是Windows7,数据库采用的是MySQL,数据库连接工具用的是Navicat,编程语言采用的是Python 2.7,下面是记录一个完整的练习过程。

 

建表

创建一张用户表

CREATE TABLE `user` (
  `id` int(10) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) DEFAULT NULL,
  `realname` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8;
插入数据
insert into user (`username`, `realname`) values ('zhangsan1', '张三1');
insert into user (`username`, `realname`) values ('zhangsan2', '张三2');
insert into user (`username`, `realname`) values ('zhangsan3', '张三3');
insert into user (`username`, `realname`) values ('zhangsan4', '张三4');
insert into user (`username`, `realname`) values ('zhangsan5', '张三5');
insert into user (`username`, `realname`) values ('zhangsan6', '张三6');
insert into user (`username`, `realname`) values ('zhangsan7', '张三7');
insert into user (`username`, `realname`) values ('zhangsan8', '张三8');
insert into user (`username`, `realname`) values ('zhangsan9', '张三9');
insert into user (`username`, `realname`) values ('zhangsan10', '张三10');
Navicat查看数据
# 查询语句
select * from user;

# 显示结果
1   zhangsan1   张三1
2   zhangsan2   张三2
3   zhangsan3   张三3
4   zhangsan4   张三4
5   zhangsan5   张三5
6   zhangsan6   张三6
7   zhangsan7   张三7
8   zhangsan8   张三8
9   zhangsan9   张三9
10  zhangsan10  张三10
Python查看数据
# 安装依赖库
pip install torndb mysqlclient==1.3.7

# 创建代码文件prepare.py
import torndb

conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
result = conn.query('select * from user')

for i in result:
    print(i)


# 运行代码
python prepare.py

# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

 

注入

常规查询
# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('10')

# sql语句拼接
# _sql相当于 'select * from user where id=10'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)



# 显示结果
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

 

关键字(or)注入
# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('10 or True')

# sql语句拼接
# _sql相当于 'select * from user where id=10 or True'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)


# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

SQL语句的where条件只要你的语法没问题,那么它背后的机制是支持三种东西:True、False、表达式。 or关键字跟编程语言中的机制是一样的,不管其他表达式是否成立,只要or关键字后面的表达式是True那么整个where条件都是成立的。

布尔(True)
select * from user where True; # 返回所有结果

布尔(False)
select * from user where False; # 返回空结果

表达式(1=1)
select * from user where 1=1; # 返回所有结果

表达式(id=8)
select * from user where id=8; # 返回一条结果

表达式(id=8 or True) / (id=8 or 1=1)
select * from user where id=8 or 1=1; # 返回所有结果

 

特殊字符(=)注入

正常查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('zhangsan4')
realname = get_argument('张三4')

# sql语句拼接
# _sql相当于 'select * from user where username="zhangsan4" and realname="张三4"'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)

# 显示结果
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}

注入查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('"or ""="')
realname = get_argument('"or ""="')

# sql语句拼接
# _sql相当于 'select * from user where username=""or ""="" and realname=""or ""=""'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)


# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}
特殊字符(;)注入

在sql语句执行环境中,每条sql都用分号来区分,大部分数据库都支持多条语句一起执行,只要用分号隔开即可;那么通过利用分号也可以做其他危险动作或执行其他查询。

查询两条数据
select * from user where id=8; select * from user where id=4;

执行危险语句(删除掉用户表)
select * from user where id=8; drop table user;

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8; drop table user;')

# sql语句拼接
# _sql相当于 'select * from user where id=8; drop table user;'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)

# 显示结果
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

执行完这块代码之后,虽然数据时正常显示了,但是表也被删除了。。。。。。(只能再次建表插入数据,才能往下走了)。

 

使用SQL参数(SQL Parameters)来规避注入

规避or关键字

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8 or 1=1')

# sql语句拼接
_sql = 'select * from user where id=%s'

# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])

# 打印结果
for i in result:
    print(i)

# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8 or 1=1'
  return cursor.execute(query, kwparameters or parameters)

{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

 

规避分号(;)关键字

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8;drop table user;')

# sql语句拼接
_sql = 'select * from user where id=%s'

# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])

# 打印结果
for i in result:
    print(i)

# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8;drop table user;'
  return cursor.execute(query, kwparameters or parameters)

{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

 

规避等号(=)特殊字符

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('" or "1"="1')
realname = get_argument('" or "1"="1')


# sql语句拼接
_sql = 'select * from user where username="%s" and realname="%s"'

# 执行查询并取得结果集
result = conn.query(_sql, *[username, realname])

# 打印结果
for i in result:
    print(i)

# 显示结果
没有任何结果

 

追溯源码

# torndb.py 
Class Connection:
    def query(self, query, *parameters, **kwparameters):
        self._execute(cursor, query, parameters, kwparameters)
        
        
    def _execute(self, cursor, query, parameters, kwparameters):
        cursor.execute(query, kwparameters or parameters)
        

# MySQLdb/cursors.py
class BaseCursor(object):
    def execute(self, query, args=None):
        # 将sql语句进行encode转码
        
        # 执行sql语句(虚执行)
        res = self._query(query)
        
    def _query(self, q):
        # 执行sql语句(虚执行)
        return self._do_query(q)
        
    def _do_query(self, q):
        # 执行sql语句(交给C语言接口去查询)
        db.query(q)
        
        # 异步返回结果
        self._do_get_result()

参考

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容

  • 姓名:于川皓 学号:16140210089 转载自:https://baike.baidu.com/item/sq...
    道无涯_cc76阅读 1,934评论 0 2
  • [SQL注入攻击] SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式...
    James黄杰阅读 2,645评论 0 30
  • Sql 注入基础原理介绍一、实验说明1.1 实验内容SQL注入攻击通过构建特殊的输入作为参数传入Web应用程序,而...
    FreaxJJ阅读 1,815评论 3 23
  • SQL注入 概念 危害 原理 实例 防御 基础 - ### SQL语句所用符号不同数据库的sql注入与提权常见S...
    yddchsc君阅读 1,312评论 1 10
  • 原文链接:Make GIF Snapshot for Android APP
    Viking_Den阅读 162评论 0 0