sql注入之新手入门示例详解

前言

在学习这篇文章之前,至于要学习了SQL注入的前提知识,可以参考之前写的一篇sql注入之必备的基础知识。

认识SQL注入

最开始就从最简单的开始,进入到less-1开始我们的SQL注入学习之旅。

通过改变http://localhost/sqlilabs/Less-1/?id=3的id值,页面上呈现不同的内容(username,password)。

那么我们就可以猜测在后台中的SQL语句就是根据前台传入的id值来去对应的数据。

那么SQL语句的写法为:

select username,password from table where id=input

判断存在SQL语句

接下来进行做测试,使用以下的语句进行测试:

http://localhost/sqlilabs/Less-1/?id=3 and 1=1
http://localhost/sqlilabs/Less-1/?id=3 and 1=2

这个时候页面没有任何的变化,这是不和符合我们预期的结果,因为当id=3 and 1=2时,SQL语句变为select username,password from table where id=3 and 1=2页面应该不会有内容。

确定存在SQL语句

使用了之前的语句不行之后,我们使用如下的语句:

http://localhost/sqlilabs/Less-1/?id=3'

当URl是以上的SQL语句时,页面上显示SQL执行错误信息You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''3'' LIMIT 0,1' at line 1

其中最关键的错误信息是:

''3'' LIMIT 0,1'

最外层的引号是mysql出错时自动加上的。那么实际的SQL语句是 '3'' LIMIT 0,1。我们发现在我们输入的3'被引号包围了,那么我们之前猜测的select username,password from table where id=input有误,实际的后台的SQL语句应该为:

select username,password from table where id='input'

SQL注入验证

在确定存在了SQL注入之后,同时知道了后台SQL写法,那么此时我们就可以注入自己的SQL注入的代码。

由于我们可以控制id的值,那么最终输入的SQL语句会变为:

select username,password from table where id='input 攻击代码'

此时我们就可以构造如下的payload来验证我们的想法。由于我们的输入是被一对单引号包裹的,所以我们输入的语句必须要能够不被单引号影响。要么闭合单引号,要么注释掉单引号。(可以参考前面的文章)

#闭合单引号
id=1 and '1' = '1 #
#注释单引号
id=1 and 1=1 # 或者 id=1 and 1=1--+

当我们使用上面的这3个payload之后,页面显示的结果是符合预期的。那么我们也可以确定id参数确实是存在SQL注入的。后台的SQL语句的写法也的确是select username,password from table where id='input'

在确定了SQL语句之后,接下里就是注入SQL注入代码了。

执行SQL注入

使用SQL语句来进行脱裤,这一点是十分关键的。如果仅仅是知道存在SQL注入但是无法脱裤,那么实际上这个漏洞对于该网站的危害性还是很小的。如何构造正确的SQL语句进行脱裤,这一点也是十分重要的,在下一篇文章中将会详细地讲解SQL注入的详细的步骤。

注入类型判断

在本题中的SQL语句就称之为字符型的SQL注入,因为我们的输入在SQL语句执行的过程中被单引号所包括,其实在SQL语句执行中,这个id参数被当做是一个字符类型的数据。除了有字符型的SQL注入,当然还有数字型的SQL语句。那么如何区分这两者呢?

字符型SQL注入

在确定存在SQL语句这节中,当我们输入id=3'是页面的出错信息是 '3'' LIMIT 0,1。我们发现3'被引号所包围,那么说明这个就是一个字符型的SQL注入了。

数字型SQl注入

在less-2中,当我们同样输入id=3'时,页面的出错信息是 ' LIMIT 0,1,那么就说明是一个数字型的注入了同时还存在limit关键字,那么我们猜测less-2中的SQL注入为:

select username,password from table where id=input limit 0,1

以上都可以通过查看源代码的方式来进行验证。

SQL语句判断

但是很多时候我们通过单引号的方式并不能返回sql执行语句的错误信息,就无法通过错误信息得到注入类型。因为很多时候在后台的SQL语句会有各种千奇百怪的写法。

在less-3和less-4中的写法就是如下:

$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1"

在less-3中使用了括号来包裹用户的输入

$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";

在less-4中使用了双引号来包裹用户的输入,那么当你即使加上了单引号进行测试的时候还是无法出发SQL语句执行错误。

所以说很多时候仅仅使用单一的符号进行判断是完全不够的,要多使用不同类型的符号来进行测试的判断,使用包括',",\,(,=,&等等字符,甚至有时候还要使用其他的探查方法,因为你无法判断后台的SQL语句的写法,而且目前很多的网站开发人员已经有了一定的安全意识,可能常规的SQL探查语句也无法使用。关于其他跟多SQL注入的探查语句,网上有很多的资料。

总结

SQL注入的判断没有万能方法,只有不断的进行尝试,当你有了一定的经验之后,就会对注入类型有了自觉,同时对于SQL注入的判断也会更快。以上就是这篇文章的全部内容了,如果要对实际的网络中的网站进行安全测试,以上的知识是远远不够的。小编会继续更新更多sql注入的文章,请继续关注我们。

(0)

相关推荐

  • sql注入之必备的基础知识

    什么是SQL注入(SQL Injection) 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击. mysql常用注释 # --[空格]或者是--+ /*-*/ 在注意过程中,这些注释可能都需要进行urlencode. mysql认证绕过 ;%00 ' or 1=1 # ' /*!or */

  • SQL注入之基于布尔的盲注详解

    基于布尔的盲注 Web的页面的仅仅会返回True和False.那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息. 由于本次是布尔注入,手注无法完整地进行脱裤.所以在本节需要编写大量的代码来帮助我们进行SQL注入,得到数据.所以在这章里面会有很多的Python代码. 本次的示例就是Less-8. 通过进行下面的语句的注入测试 http://localhost/sqlilabs/Less-8/?id=2' http://localhost/sqli

  • sql注入之手工注入示例详解

    前言 这篇文章就是一个最基本的SQl手工注入的过程了.基本上在sqlilabs上面的实验,如果知道了其中的全部知识点,都可以通过以下的步骤进行脱裤.下面的这个步骤也是其他的脱裤手段的基础.如果想要精通SQL注入,那么这个最基本的脱裤步骤是必须了解和掌握的. 为了方便说明,我们还是用之前的数字型的注入点为例来进行说明. 得到字段总数 在前面的介绍中,我们已经知道在http://localhost/sqlilabs/Less-2/?id=1id是一个注入点. 后台的SQL语句的写法大致为 selec

  • PHP中防止SQL注入实现代码

    一. 注入式攻击的类型 可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型.这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话.本文后面,我们会对此作详细讨论. 如 果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中,如下所示(其中,注入部分以粗体显示): SELECT * FROM wines WHERE variety = 'lagrein' OR 1=1;'

  • php中防止SQL注入的最佳解决方法

    如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: 复制代码 代码如下: $unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 这是因为用户可以输入类似VALUE"); DROP TABLE表; - ,使查询变成: 复制代码 代

  • PHP+MySQL 手工注入语句大全 推荐

    暴字段长度 Order by num/* 匹配字段 and 1=1 union select 1,2,3,4,5--.n/* 暴字段位置 and 1=2 union select 1,2,3,4,5-..n/* 利用内置函数暴数据库信息 version() database() user() 不用猜解可用字段暴数据库信息(有些网站不适用): and 1=2 union all select version() /* and 1=2 union all select database() /* a

  • 利用SQL注入漏洞拖库的方法

    想在本地测试的话,可以在此免积分下载:利用SQL注入漏洞拖库 同上一篇文章一样,我们需要创建数据表,并在表中出入几条数据以备测试之用. 在数据库中建立一张表: 复制代码 代码如下: CREATE TABLE `article` ( `articleid` int(11) NOT NULL AUTO_INCREMENT, `title` varchar(100) CHARACTER SET utf8 NOT NULL DEFAULT '', `content` text CHARACTER SET

  • 整理比较全的Access SQL注入参考

    Access SQL注入参考 版本 0.2.1(最近更新 10/10/2007)原作者不详 描述 SQL查询及注释 注释符 Access中没有专门的注释符号.因此"/*", "--"和"#"都没法使用.但是可以使用空字符"NULL"(%00)代替: ' UNION SELECT 1,1,1 FROM validTableName%00 语法错误信息 "[Microsoft][Driver ODBC Microsoft

  • php防止SQL注入详解及防范

    一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出).这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误.对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案),考虑以下简单的登录表单: 复制代码 代码如下: <form action="/login.php" method="POST"><p>Userna

  • 利用SQL注入漏洞登录后台的实现方法

    早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的. 如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的网站都已经补上漏洞.但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的. 前些天,网上传得沸沸扬扬的"拖库"事件给我们敲响了安全警钟. 在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符.通常,用户可以通过以下接口调用数据库的内容:URL地址栏.登陆界面.留言板.搜索框等.这往往给骇客留下了可乘之机.轻则数据遭到泄露,重则服务器被拿下.

随机推荐