首页 > 数据库 >SQL注入详解

SQL注入详解

时间:2024-01-24 09:36:47浏览次数:40  
标签:语句 详解 SQL 攻击者 xp id 注入

一、SQL注入

  • 注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件,
  • 第一个是用户能够控制输入;
  • 第二个是原本程序要执行的代码,拼接了用户输入的数据。
var sql = "select *  from tableName  where  name='" + "test" + "'";

这个“拼接”的过程很重要,正是这个拼接的过程导致了代码的注入。

如果是一条update/delete语句,就可能会造成严重的后果。

在SQL注入的过程中,如果网站的Web应用程序抛出异常信息,比如攻击者在参数中输入一个单引号“'”,引起执行查询语句的语法错误,而错误信息显示在页面上,对于攻击者来说,构造SQL注入的语句就可以更加得心应手了。

当Web应用程序不显示异常信息,可以使用“盲注”(Blind Injection)的技巧。

二、盲注(BIind Injection)

所谓“盲注”,就是在服务器没有错误回显时完成的注入攻击。服务器没有错误回显,对于攻击者来说缺少了非常重要的“调试信息”,所以攻击者必须找到一个方法来验证注入的SQL语句是否得到执行。

最常见的盲注验证方法是,构造简单的条件语句,根据返回页面是否发生变化,来判断SQL语句是否得到执行。

比如,一个应用的URL如下:

http://localhost:88/person.aspx?id=2

执行的SQL语句为:

select *  from tableName  where  id=2

如果攻击者构造如下的条件语句:

http://localhost:88/person.aspx?id=2 and 1=2

实际执行的SQL语句就会变成:

select *  from tableName  where  id=2 and 1=2

因为“and 1=2”永远是一个假命题,所以这条SQL语句的“and”条件永远无法成立。对于Web应用来说,也不会将结果返回给用户,攻击者看到的页面结果将为空或者是一个出错页面。

为了进一步确认注入是否存在,攻击者还必须再次验证这个过程。因为一些处理逻辑或安全功能,在攻击者构造异常请求时,也可能会导致页面返回不正常。攻击者继续构造如下请求:

http://localhost:88/person.aspx?id=2 and 1=1

当攻击者构造条件“and 1=1”时,如果页面正常返回了,则说明SQL语句的“and”成功执行,那么就可以判断“id”参数存在SQL注入漏洞了。

在这个攻击过程中,服务器虽然关闭了错误回显,但是攻击者通过简单的条件判断,再对比页面返回结果的差异,就可以判断出SQL注入漏洞是否存在。这就是盲注的工作原理。

Timing Attack

利用 MySQL的BENCHMARK()函数,可以让同一个函数执行若干次,使得结果返回的时间比平时要长;通过时间长短的变化,可以判断出注入语句是否执行成功。这是一种边信道攻击,这个技巧在盲注中被称为Timing Attack。

或者使用微软SQL Server的 waitfor delay '0:0:5' 它用来指定等待的时间。如果将该语句成功注入后,会造成数据库返回记录和Web请求也会响应延迟特定的时间。由于该语句不涉及条件判断等情况,所以容易注入成功。根据Web请求是否有延迟,渗透测试人员就可以判断网站是否存在注入漏洞。同时,由于该语句并不返回特定内容,所以它也是盲注的重要检测方法。

比如构造的攻击参数id值为 :

select * from employee where id=1 if(SUBSTRING(DB_NAME(),1,1)='t') waitfor delay '0:0:5'

这段sql判断数据库名的第一个字母是否为t。如果判断结果为真,则会通过waitfor delay '0:0:5'造成SQL执行延时;如果不为真,则该语句将很快执行完。攻击者遍历所有字母,直到将整个数据库名全部验证完成为止。

数据库攻击技巧

找到SQL注入漏洞,仅仅是一个开始。要实施一次完整的攻击,还有许多事情需要做。将介绍一些具有代表性的SQL注入技巧。了解这些技巧,有助于更深入地理解SQL注入的攻击原理。

常见的攻击技巧

比如构造的攻击参数id值为以下,则是利用union select来分别确认表名admin是否存在,列名passwd是否存在:

select * from employee where id=1 union all select 1 from amdin
select * from employee where id=1 union all select 1,password from amdin

进一步,想要猜解出username和password具体的值,可以通过判断字符的范围,一步步读出来:

select *from employee where id=1 IF ASCII(SUBSTRING((select top 1 city from Customers),1,1))=49 WAITFOR DELAY '0:0:5'

这个过程非常的烦琐,所以非常有必要使用一个自动化工具来帮助完成整个过程。sqlmap.py就是一个非常好的自动化注入工具。

命令执行

在MS SQL Server中,则可以直接使用存储过程“xp_cmdshell”执行系统命令。

攻击存储过程

在MS SQL Server中,存储过程“xp_cmdshell”可谓是臭名昭著了,无数的黑客教程在讲到注入SQL Server时都是使用它执行系统命令:

exec master.dbo.xp_cmdshell 'cmd.exe dir c:'
exec master.dbo.xp_cmdshell 'ping'

除了xp_cmdshell外,还有一些其他的存储过程对攻击过程也是有帮助的。
比如

  • xp_regread可以操作注册表;
  • xp_servicecontrol,允许用户启动、停止服务;
  • xp_terminate_process,提供进程的进程ID,终止此进程。
  • xp_ntsec_enumdomains,列举服务器可以进入的域。
  • xp_loginconfig,获取服务器安全信息。
  • xp_dirtree,允许获得一个目录树。

SQL自动注入工具

学习了SQL注入的相关知识和技术,当发现有SQL注入漏洞的时候,一般都需要发送大量的请求以便从Web应用程序后台的远程数据库中获取需要的信息,这种手动检测方法费时且效率较低,一些专门的软件可以帮助我们进行检测,正确运行这些软件只需要根据界面提示进行相关操作就可以了。这些软件主要有:

正确地防御SQL注入

从防御的角度来看,要做的事情有两件:

  • (1)找到所有的SQL注入漏洞;
  • (2)修补这些漏洞。

SQL注入的代码层防御:在编写Web应用程序时应该如何进行代码的防御

输入验证防御(JS前端)

输入验证是指在Web页面代码中,用户提交表单数据前,利用一定的规则对输入的数据进行合法性验证。这里的验证不仅要验证数据的类型,还应该利用正则表达式或业务逻辑来验证数据的内容是否符合要求。

Web服务器端数据验证

1、ASP.NET应用程序通过System.Web.HttpRequest类获取用户提交的输入。这个类中包含大量Web应用程序用于访问用户提交的数据的属性和方法。如下表所示:

收到的参数主要有4类,分别是Form参数、URL参数、Cookies参数和Session参数。例如在Web服务器端通过ASP获取这些参数的语句如下。

  • ① Form参数的读取:UserName= Request.Form["User1"];
  • ② URL参数的读取:UserName= Request.QueryString["User1"];
  • ③ Cookies参数读取:UserName=Request.Cookies["User1"];
  • ④ Session参数读取:UserName=Session["User1"];

检查输入数据的数据类型。比如输入时间、日期时,必须严格按照时间、日期的格式,等等,都能避免用户数据造成破坏。但数据类型检查并非万能,如果需求就是需要用户提交字符串,比如一段短文,则需要依赖其他的方法防范SQL注入。

通过代码过滤防御:过滤关键词
"xp_cmdshell","truncate","dump","net user","--","/*"
,"delete","update","insert","exec","count("
,"RESTORE","net localgroup","asc","execute","desc"
,"drop","truncate","char","grant","master","netlocalgroup administrators"

还有大量应用程序允许用户指定排序关键字(ASC或DESC)

正确地防御SQL注入:

  • 1、参数化参数
  • 2、使用ORM框架查询

欢迎关注公众号:

标签:语句,详解,SQL,攻击者,xp,id,注入
From: https://www.cnblogs.com/MaxInfo/p/17983886

相关文章

  • Unity3D 游戏转场时如何保留节点信息详解
    Unity3D是一款非常强大的游戏开发引擎,它提供了丰富的功能和工具,使开发者能够轻松创建各种类型的游戏。在游戏开发过程中,转场是一个非常常见的需求,它可以使游戏过程更加流畅和连贯。然而,在转场过程中,如何保留节点信息是一个需要解决的问题。本文将详细介绍Unity3D游戏转场时如何保......
  • Unity3D 协程的优缺点详解
    Unity3D是一款强大的游戏开发引擎,它提供了许多功能和工具,以帮助开发者创建高质量的游戏。其中一个非常重要的功能就是协程(Coroutine)。协程是一种特殊的函数,它可以在执行过程中暂停并在稍后的时间点继续执行。在本文中,我们将详细探讨Unity3D协程的优缺点,并提供一些技术详解和代码实......
  • C# Break 和 Continue 语句以及数组详解
    C#Break它被用于“跳出”switch语句。break语句也可用于跳出循环。以下示例在i等于4时跳出循环:示例:for(inti=0;i<10;i++){if(i==4){break;}Console.WriteLine(i);}C#Continuecontinue语句在循环中发生特定条件时中断一次迭代,并......
  • 元数据数据库 PostgreSQL 改造实践
    元数据数据库是一种强大的关系型数据库管理系统,本文将介绍如何通过改造实践来提高其在元数据数据库中的应用效率。在这个二级标题中,我们将简要介绍元数据数据库的概念和作用,并探讨为什么选择使用PostgreSQL进行改造。随着大数据时代的到来,元数据的管理变得愈发重要,它涉及到数据的描......
  • SQL Server执行计划可以分析优化SQL
    要理解执行计划,怎么也得先理解,那各种各样的名词吧。鉴于自己还不是很了解。本文打算作为只写懂的,不懂的懂了才写。在开头要先说明,第一次看执行计划要注意,SQLServer的执行计划是从右向左看的。名词解析:扫描:逐行遍历数据。先建立一张表,并给大家看看大概是什么......
  • Oracle 21c-PL/SQL连接远程数据库的方式
    1、方式一:使用’IP:端口‘直接链接2、方式二:配置Oracle数据库连接器(1)打开NetManager(2)配置Oracle数据库服务器信息(3)打开PL/SQL,输入用户名、密码;数据库输入框输入'(2)中第4页配置的服务名'即可......
  • MySQL乐观锁与悲观锁
    说明遇见并发情况,需要保证数据的准确性,也就是与正确的预期一致,此时就会用到锁。锁是在并发下控制程序的执行逻辑,以此来保证数据按照预期变动。如果不加锁,并发情况下的可能数据不一致的情况,这是个概率问题。乐观锁CAS简介乐观锁很乐观,假设数据一般情况不会造成冲突,属于程序层......
  • SQL的一些通用语句-数据库和表的创建、删除、查询
    SQL的一些通用语句DDL(数据定义语言)-数据库操作查询查询所有数据库SHOWDATABASES;查询当前数据库SELECTDATABASE();创建CREATEDATABASE[IFNOTEXISTS]数据库名[DEFAULTCHARSET字符集][COLLATE排序规则];[IFNOTEXISTS]为可选项[DEFAULTCHARSET字......
  • MySQL Update语句一个非常经典的“坑”
    起因最近好几次有开发同学在钉钉上问我,比如下图: 问题归纳起来就是:在MySQL里面update一条记录,语法都正确的,但记录并没有被更新…结论小结:在一条UPDATE语句中,如果要更新多个字段,字段间不能使用“AND”,而应该用逗号分隔。现象刚遇到这个问题的时候,我拿到这条语句直接在测试......
  • centos7环境部署psqlodbc
    1获取unixODBC和psqlodbc源码包打开https://github.com/lurcher/unixODBC/tags,以下载unixODBC-2.3.7.tar.gz为例打开https://www.postgresql.org/ftp/odbc/versions/src/,以下载psqlodbc-09.06.0500.tar.gz为例将下载好的软件包放在/home/postgres2编译安装unixODBC执行如......