sql注入原理及4中常見注入攻擊代碼分析

　　我們都知道，學(xué)安全，懂SQL注入是重中之重，因?yàn)榧词故乾F(xiàn)在SQL注入漏洞依然存在，只是相對(duì)于之前現(xiàn)在挖SQL注入變的困難了。而且知識(shí)點(diǎn)比較多，所以在這里總結(jié)一下。

　　通過(guò)構(gòu)造有缺陷的代碼，來(lái)理解常見的幾種SQL注入。本文只是講解幾種注入原理，沒有詳細(xì)的利用過(guò)程。

　　sql注入原理

　　1.SQL注入漏洞的產(chǎn)生需要滿足兩個(gè)條件：

　　2.參數(shù)用戶可控：前端傳給后端的參數(shù)內(nèi)容是用戶可以控制的。

　　參數(shù)帶入數(shù)據(jù)庫(kù)查詢：傳入的參數(shù)拼接到SQL語(yǔ)句并帶入數(shù)據(jù)庫(kù)查詢。所以在實(shí)際環(huán)境中開發(fā)者要秉持“外部參數(shù)皆不可信原則”進(jìn)行開發(fā)。

　　4種常見的sql注入攻擊

　　1、union注入攻擊

　　先看代碼

<?php

$con=mysqli_connect("localhost","root","XFAICL1314","dvwa"); #連接數(shù)據(jù)庫(kù)，我這里直接連接了dvwa的數(shù)據(jù)庫(kù)
if(mysqli_connect_error())
{
    echo "連接失敗:" .mysqli_connect_error();
}
$id=$_GET['id'];
$result=mysqli_query($con,"select * from users where `user_id`=".$id);
$row=mysqli_fetch_array($result);
echo $row['user'] . ":" . $row['password'];
echo "<br>";

　　在union注入頁(yè)面中，程序獲取GET參數(shù)id,對(duì)用戶傳過(guò)來(lái)的id值沒有進(jìn)行過(guò)濾，直接拼接到SQL語(yǔ)句中，在數(shù)據(jù)庫(kù)中查詢id對(duì)應(yīng)的內(nèi)容，并將這一條查詢結(jié)果中的user和password 輸出到頁(yè)面。進(jìn)行union注入攻擊前提是頁(yè)面有回顯。然后就是注入的常規(guī)思路，判斷類型，判斷字段數(shù)，使用union查詢相關(guān)數(shù)據(jù)。

　　2、布爾盲注攻擊

　　先看代碼　　

<?php
$con=mysqli_connect("localhost","root","XFAICL1314","dvwa");
if(mysqli_connect_error())
{
    echo "連接失敗:" .mysqli_connect_error();
}
$id=$_GET['id'];
if(preg_match("/union|sleep|benchmark/i",$id)){
    exit("on");
}
$result=mysqli_query($con,"select * from users where `user_id`=".$id);
$row=mysqli_fetch_array($result);
if ($row) {
    exit("yes");
}
else{
    exit("no");
}
?>

　　在布爾盲注頁(yè)面中，程序先獲取GET參數(shù)id，通過(guò)preg_match()函數(shù)判斷其中是否存在union sleep benchmark等危險(xiǎn)字符。然后將參數(shù)id拼接到SQL語(yǔ)句，從數(shù)據(jù)庫(kù)查詢，如果有結(jié)果，返回yes,否則返回no。

　　所以訪問這個(gè)頁(yè)面，代碼根據(jù)查詢結(jié)果返回只返回yes和no,不返回?cái)?shù)據(jù)庫(kù)中的任何結(jié)果，所以上一種的union注入在這里行不通。

　　嘗試?yán)貌紶柮ぷ?。布爾盲注是指?gòu)造SQL判斷語(yǔ)句，通過(guò)查看頁(yè)面的返回結(jié)果來(lái)推測(cè)哪些SQL判斷是成立的。例如，我們可以判斷數(shù)據(jù)庫(kù)名的長(zhǎng)度構(gòu)造語(yǔ)句如下。and length(database())>=1 #依次增加，查看返回結(jié)果。

　　通過(guò)上面的語(yǔ)句我們可以猜到數(shù)據(jù)庫(kù)名長(zhǎng)度為4。

　　接著使用逐字符判斷的方式獲取數(shù)據(jù)庫(kù)庫(kù)名，數(shù)據(jù)庫(kù)庫(kù)名范圍一般都是az，字母09。構(gòu)造語(yǔ)句如下：

　　and substr(database(),1,1)=要猜解的字母(轉(zhuǎn)換成16進(jìn)制)

　　substr是截取的意思，構(gòu)造語(yǔ)句的含義是，截取database()的值，從第一個(gè)開始，每次返回一個(gè)。這里要注意，要和limit語(yǔ)句區(qū)分開，limit從0開始排序，substr從1開始排序。因?yàn)槲抑罃?shù)據(jù)庫(kù)的第一個(gè)字母是d，所以直接換成d，轉(zhuǎn)換成16進(jìn)制就是0x64。結(jié)果如下：　

　　在真實(shí)環(huán)境中，自己手工的話，工作量有點(diǎn)大，可以借助burp的爆破功能爆破要猜解的字母。

　　同樣，也可以利用substr()來(lái)猜解表名和字段。構(gòu)造語(yǔ)句：

　　and substr((select table_name from information_schema.tables where table_schema=庫(kù)名 limit 0,1),1,1)=要猜解的字母(這里指表名)

　　用這樣的方法，可以猜解出所有的表名和字段，手工會(huì)累死，可以借助burp或者sqlmap。

　　3、報(bào)錯(cuò)注入攻擊

　　先看代碼　

<?php
$con=mysqli_connect("localhost","root","XFAICL1314","dvwa");
if (mysqli_connect_error())
{
    echo "連接失敗:".mysqli_connect_error();
}
$id=$_GET['id'];
if($result=mysqli_query($con,"select *from users where `user_id`=".$id))
{
    echo "ok";
}else{
    echo mysqli_error($con);
}
?>

　　查看代碼，在報(bào)錯(cuò)注入頁(yè)面中，程序獲取GET參數(shù)id后，將id拼接到SQL語(yǔ)句中查詢，如果執(zhí)行成功，就輸出ok，如果出錯(cuò)，就通過(guò)echo mysqli_error($con)將錯(cuò)誤信息輸出到頁(yè)面。我們可以利用這種錯(cuò)誤回顯，通過(guò)updatexml()、floor()等函數(shù)將我們要查詢的內(nèi)容顯示到頁(yè)面上。

　　例如，我們通過(guò)updatexml()獲取user()的值，構(gòu)造如下語(yǔ)句：

　　and updatexml(1,concat(0x7e,(select user()),0x7e),1) #0x7e是~16進(jìn)制編碼

　　發(fā)現(xiàn)查詢出了user()的值

　　同樣，我們也可以查詢出database()的值

　　and updatexml(1,concat(0x7e,(select database()),0x7e),1) #0x7e是~16進(jìn)制編碼

　　查詢出了數(shù)據(jù)庫(kù)名

　　我們可以用這種方法查詢出剩下的所有表名和字段，只需要構(gòu)造相關(guān)的SQL語(yǔ)句就可以了。

　　4、時(shí)間盲注入攻擊

　　先看代碼 

<?php
$con=mysqli_connect("localhost","root","XFAICL1314","dvwa");
if (mysqli_connect_error())
{
    echo "連接失敗:".mysqli_error();
}
$id=$_GET['id'];
if (preg_match("/union/i",$id)){
    exit("<html><body>no</body></html>");
}
$result=mysqli_query($con,"select * from users where `user_id`=".$id);
$row=mysqli_fetch_array($result);
if ($row){
    exit("<html><body>yes</body></html>");
}
else{
    exit("<html><body>no</body></html>");
}
?>

　　查看代碼，在時(shí)間盲注頁(yè)面中，程序獲取GET參數(shù)id,通過(guò)preg_match()函數(shù)判斷是否存在union危險(xiǎn)字符，然后將id拼接到SQL語(yǔ)句中，并帶入數(shù)據(jù)庫(kù)查詢。如果有結(jié)果返回yes,沒有結(jié)果返回no。不返回?cái)?shù)據(jù)庫(kù)中的任何數(shù)據(jù)。

　　它與布爾盲注的不同在于，時(shí)間盲注是利用sleep()或benchmark()等函數(shù)讓執(zhí)行時(shí)間變長(zhǎng)。一般和if(expr1,expr2,expr3)結(jié)合使用,這里的if語(yǔ)句的含義為如果expr1為真，則if()返回expr2,否則返回expr3。所以判斷數(shù)據(jù)庫(kù)的長(zhǎng)度，咱們構(gòu)造的語(yǔ)句如下：

　　if (length(database())>3,sleep(5),1) #判斷數(shù)據(jù)庫(kù)長(zhǎng)度，如果大于3，休眠5秒，否則查詢1 

　　由上面圖片，我們通過(guò)時(shí)間可以判斷出，數(shù)據(jù)庫(kù)的長(zhǎng)度為4。

　　得到長(zhǎng)度后，通過(guò)substr()來(lái)查詢數(shù)據(jù)庫(kù)的第一個(gè)字母，這里和布爾盲注很類似，構(gòu)造如下語(yǔ)句：

　　and if (substr(database(),1,1)=庫(kù)的第一個(gè)字母,sleep(5),1)

　　依次進(jìn)行猜解。依次類推，可以猜解出數(shù)據(jù)庫(kù)完整的庫(kù)名，表名，字段名和具體數(shù)據(jù)。手工的話依舊是一個(gè)浩大的工程，一般借助工具。

　　總結(jié)

　　本文對(duì)union注入、布爾盲注、報(bào)錯(cuò)注入、時(shí)間盲注的原理和代碼進(jìn)行了簡(jiǎn)單的分析。

　　更多關(guān)于網(wǎng)絡(luò)安全的問題，歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學(xué)，課程大綱緊跟企業(yè)需求，更科學(xué)更嚴(yán)謹(jǐn)，每年培養(yǎng)泛IT人才近2萬(wàn)人。不論你是零基礎(chǔ)還是想提升，都可以找到適合的班型，千鋒教育隨時(shí)歡迎你來(lái)試聽。