【渗透课程】第五篇-SQL注入的原理

日期: 栏目:跨境 浏览:1421 评论:0

哈哈哈,讲到注入了。我想给大家讲注入的原理。这个我们前面的前言篇就说过,所谓的SQL注入就是,绕过数据库验证机制直接执行SQL语句。怎么说呢,我们先讲一个概念吧!

网站和网页的区别

单纯的网页是静态的,html就是静态的,一些简单的网站(如某些引导页)只有网页和网页之间的跳转。而网站是动态的,是一个整体性的web应用程序,几乎所有的网站都要用到数据库。数据库我们怎么利用呢?例如某些博客站,cms站点。它的文章并不是存在网站目录里的,而是存在数据库里的,例如某些cms是通过后缀?id=321来调用数据库内的文章内容。此时便是向数据库传递变量为ID值为321请求,而数据库会响应并查询我们的请求。

总体来说原理就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

例子

比方说我们在某网站后台登录界面,有两条输入框,一条是帐号一条是密码。那么我们可以猜测数据库中有一个admin表,表里面有两个字段username和password 。这样我们输入用户(比如123)密码(比如456)并提交之后,数据库就会执行一段查询语句:

select id from users where username = ‘123 and password = ‘123’

并判断用户名123是错误的(为假)

之后返回帐号密码错误信息。

那么如果我们在用户名处输入’or 1=1– 而密码随便输入个456呢? 我们来看看数据库中的查询语句:

select id from users where username = ” or 1=1–  and password = ‘456’

‘又 这里呢1=1永远为真,后面 and password = ‘456’被注释掉了。数据库不需要考虑,这里我们就跳过了验证。

这就是几年前的万能密码,这里只是说说逻辑。我们再来看看下面另一个例子。

整型参数的判断

SQL注入一般存在于形如:

HTTP://www.xxx.xxx/text.asp?id=XX

这种带有参数的asp或者动态网页中,注入又分为整形注入和字符串注入。总之只要是带有参数的动态网页且此网页访问了数据库,那么就有可能存在SQL注入。下以HTTP://www.xxx.xxx/test.asp?p=xx为例进行分析,xx此处设为整型。

当输入的参数xx为整型时,通常test.asp中SQL语句原貌大致如下:

select * from 表名 where 字段=xx

所以可以用以下步骤测试SQL注入是否存在。

①HTTP://www.xxx.xxx/text.asp?p=xx’(附加一个单引号)此时abc.ASP中的SQL语句变成了

select * from 表名 where 字段=YY’

数据库无法处理,返回异常;

②HTTP://www.xxx.xxx/test.asp?p=xx and 1=1。1=1为真 test.asp运行正常,而且与没加语句之前的test.asp?p=xx运行结果一样正常显示;

③HTTP://www.xxx.xxx/test.asp?p=YY and 1=2,语句为假,因为1≠2  test.asp运行异常;如果以上三步全面满足,test.asp中一定存在SQL注入漏洞。

小技巧:有时管理员会在后台设置过滤掉单引号等字符,以防止SQL注入。此时可以用以下几种试一试。

大小定混合法:VBS并不区分大小写,而网站程序可能区分。然后程序员在过滤时通常要么全部过滤大写字符串,要么全部过滤小写字符串,而大小写混合往往会被忽视。如用SelecT代替select,SELECT等;

UNICODE法:在IIS中,以UNICODE字符集实现国际化,我们完全可以IE中输入的字符串化成UNICODE字符串进行输入。如+ =%2B,空格=%20 等;URLEncode信息可以参加百度;

ASCII码法:可以把输入的部分或全部字符全部用ASCII码代替,如U=chr(85),a=chr(97)等,ASCII信息参见百度。

猜解内容

用过明小子、啊D的都知道,存在注入肯定要猜密码了哈哈哈,可是软件是怎样一个工作过程呢?

猜解表名: and exists (select * from 表名)

猜解列名: and exists (select 字段 from 表

爆指定表名内容: and 1=1 union select 1,2,3,4,5 from 表名

猜解列长度 猜解语句: and (select top 1 len(列名)from 表名)>N and (select top 1 len(列名)from 表名)=N 其中N是数字

变换这个N的值猜解列长度,

例如: and (select top 1 len(列名)from 表名)>1 and (select top 1 len(列名)from 表名)>6

如果一直猜到6都显示正常页面,猜到7的时候返回错误(大于6并且小于等于7),那么该列的长度为7。

阿西巴,我好困~~好了这次注入浅谈就说到这里~ 其实网上的注入工具还是挺多的, 如批量注入的明小子、啊D注入工具、椰树、御剑等等。现在不会语法也没太大关系,以后再补上也行啊。SQL 存在注入的站点小编在博客里也送过了,大家可以找几个练练手(不要干坏事)。


评论留言

我要留言

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。发布前请先查看评论规则:点我查看