SQL注入详解

一、SQL注入

• 注入攻击的本质，是把用户输入的数据当做代码执行。这里有两个关键条件，
• 第一个是用户能够控制输入；
• 第二个是原本程序要执行的代码，拼接了用户输入的数据。

var sql = "select *  from tableName  where  name='" + "test" + "'";

这个“拼接”的过程很重要，正是这个拼接的过程导致了代码的注入。

如果是一条update/delete语句，就可能会造成严重的后果。

在SQL注入的过程中，如果网站的Web应用程序抛出异常信息，比如攻击者在参数中输入一个单引号“'”，引起执行查询语句的语法错误，而错误信息显示在页面上，对于攻击者来说，构造SQL注入的语句就可以更加得心应手了。

当Web应用程序不显示异常信息，可以使用“盲注”(Blind Injection)的技巧。

二、盲注（BIind Injection）

所谓“盲注”，就是在服务器没有错误回显时完成的注入攻击。服务器没有错误回显，对于攻击者来说缺少了非常重要的“调试信息”，所以攻击者必须找到一个方法来验证注入的SQL语句是否得到执行。

最常见的盲注验证方法是，构造简单的条件语句，根据返回页面是否发生变化，来判断SQL语句是否得到执行。

比如，一个应用的URL如下：

http://localhost:88/person.aspx?id=2

执行的SQL语句为：

select *  from tableName  where  id=2

如果攻击者构造如下的条件语句：

http://localhost:88/person.aspx?id=2 and 1=2

实际执行的SQL语句就会变成：

select *  from tableName  where  id=2 and 1=2

因为“and 1=2”永远是一个假命题，所以这条SQL语句的“and”条件永远无法成立。对于Web应用来说，也不会将结果返回给用户，攻击者看到的页面结果将为空或者是一个出错页面。

为了进一步确认注入是否存在，攻击者还必须再次验证这个过程。因为一些处理逻辑或安全功能，在攻击者构造异常请求时，也可能会导致页面返回不正常。攻击者继续构造如下请求：

http://localhost:88/person.aspx?id=2 and 1=1

当攻击者构造条件“and 1=1”时，如果页面正常返回了，则说明SQL语句的“and”成功执行，那么就可以判断“id”参数存在SQL注入漏洞了。

在这个攻击过程中，服务器虽然关闭了错误回显，但是攻击者通过简单的条件判断，再对比页面返回结果的差异，就可以判断出SQL注入漏洞是否存在。这就是盲注的工作原理。

Timing Attack

利用 MySQL的BENCHMARK()函数，可以让同一个函数执行若干次，使得结果返回的时间比平时要长；通过时间长短的变化，可以判断出注入语句是否执行成功。这是一种边信道攻击，这个技巧在盲注中被称为Timing Attack。

或者使用微软SQL Server的 waitfor delay '0:0:5' 它用来指定等待的时间。如果将该语句成功注入后，会造成数据库返回记录和Web请求也会响应延迟特定的时间。由于该语句不涉及条件判断等情况，所以容易注入成功。根据Web请求是否有延迟，渗透测试人员就可以判断网站是否存在注入漏洞。同时，由于该语句并不返回特定内容，所以它也是盲注的重要检测方法。

比如构造的攻击参数id值为 ：

select * from employee where id=1 if(SUBSTRING(DB_NAME(),1,1)='t') waitfor delay '0:0:5'

这段sql判断数据库名的第一个字母是否为t。如果判断结果为真，则会通过waitfor delay '0:0:5'造成SQL执行延时；如果不为真，则该语句将很快执行完。攻击者遍历所有字母，直到将整个数据库名全部验证完成为止。

数据库攻击技巧

找到SQL注入漏洞，仅仅是一个开始。要实施一次完整的攻击，还有许多事情需要做。将介绍一些具有代表性的SQL注入技巧。了解这些技巧，有助于更深入地理解SQL注入的攻击原理。

常见的攻击技巧

比如构造的攻击参数id值为以下，则是利用union select来分别确认表名admin是否存在，列名passwd是否存在：

select * from employee where id=1 union all select 1 from amdin
select * from employee where id=1 union all select 1,password from amdin

进一步，想要猜解出username和password具体的值，可以通过判断字符的范围，一步步读出来：

select *from employee where id=1 IF ASCII(SUBSTRING((select top 1 city from Customers),1,1))=49 WAITFOR DELAY '0:0:5'

这个过程非常的烦琐，所以非常有必要使用一个自动化工具来帮助完成整个过程。sqlmap.py就是一个非常好的自动化注入工具。

命令执行

在MS SQL Server中，则可以直接使用存储过程“xp_cmdshell”执行系统命令。

攻击存储过程

在MS SQL Server中，存储过程“xp_cmdshell”可谓是臭名昭著了，无数的黑客教程在讲到注入SQL Server时都是使用它执行系统命令：

exec master.dbo.xp_cmdshell 'cmd.exe dir c:'
exec master.dbo.xp_cmdshell 'ping'

除了xp_cmdshell外，还有一些其他的存储过程对攻击过程也是有帮助的。
比如

• xp_regread可以操作注册表;
• xp_servicecontrol，允许用户启动、停止服务;
• xp_terminate_process，提供进程的进程ID，终止此进程。
• xp_ntsec_enumdomains，列举服务器可以进入的域。
• xp_loginconfig，获取服务器安全信息。
• xp_dirtree，允许获得一个目录树。

SQL自动注入工具

学习了SQL注入的相关知识和技术，当发现有SQL注入漏洞的时候，一般都需要发送大量的请求以便从Web应用程序后台的远程数据库中获取需要的信息，这种手动检测方法费时且效率较低，一些专门的软件可以帮助我们进行检测，正确运行这些软件只需要根据界面提示进行相关操作就可以了。这些软件主要有：

• ① Pangolin（穿山甲），其网站地址为：http://www.xmarks.com/s/site/www.nosec-inc.com/en/products/pangolin/。
• ② SQLMap，网站地址为：http://sqlmap.sourceforge.net。
• ③ Bobcat，网站地址为：http://www.northern-monkee.co.uk/projects/bobcat/bobcat.html。
• ④ BSQL，网站地址为：http://code.google.come/p/bsq;jacler/。
• ⑤ Havij，网站地址为：http://itsecteam.com/en/projects/project1.htm。
• ⑥ SQLInjector，网站地址为：http://www.woanware.co.uk/?page_id=19。

正确地防御SQL注入

从防御的角度来看，要做的事情有两件：

• （1）找到所有的SQL注入漏洞；
• （2）修补这些漏洞。

SQL注入的代码层防御：在编写Web应用程序时应该如何进行代码的防御

输入验证防御（JS前端）

输入验证是指在Web页面代码中，用户提交表单数据前，利用一定的规则对输入的数据进行合法性验证。这里的验证不仅要验证数据的类型，还应该利用正则表达式或业务逻辑来验证数据的内容是否符合要求。

Web服务器端数据验证

1、ASP.NET应用程序通过System.Web.HttpRequest类获取用户提交的输入。这个类中包含大量Web应用程序用于访问用户提交的数据的属性和方法。如下表所示：

• https://docs.microsoft.com/zh-cn/dotnet/api/microsoft.aspnetcore.http.httprequest?view=aspnetcore-5.0
• https://res.weread.qq.com/wrepub/epub_26211899_816
• ASP.NET平台中用于获取用户提交的数据的API.jfif

收到的参数主要有4类，分别是Form参数、URL参数、Cookies参数和Session参数。例如在Web服务器端通过ASP获取这些参数的语句如下。

• ① Form参数的读取：UserName= Request.Form["User1"]；
• ② URL参数的读取：UserName= Request.QueryString["User1"]；
• ③ Cookies参数读取：UserName=Request.Cookies["User1"]；
• ④ Session参数读取：UserName=Session["User1"]；

检查输入数据的数据类型。比如输入时间、日期时，必须严格按照时间、日期的格式，等等，都能避免用户数据造成破坏。但数据类型检查并非万能，如果需求就是需要用户提交字符串，比如一段短文，则需要依赖其他的方法防范SQL注入。

通过代码过滤防御：过滤关键词

"xp_cmdshell","truncate","dump","net user","--","/*"
,"delete","update","insert","exec","count("
,"RESTORE","net localgroup","asc","execute","desc"
,"drop","truncate","char","grant","master","netlocalgroup administrators"

还有大量应用程序允许用户指定排序关键字（ASC或DESC）

正确地防御SQL注入：

• 1、参数化参数
• 2、使用ORM框架查询

欢迎关注公众号：